論文の概要: PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python

• arxiv url: http://arxiv.org/abs/2507.18075v1
• Date: Thu, 24 Jul 2025 03:58:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-25 15:10:42.938332
• Title: PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python
• Title（参考訳）: PyPitfall: Pythonの依存性カオスとソフトウェアサプライチェーン脆弱性
• Authors: Jacob Mahon, Chenxi Hou, Zhihao Yao,
• Abstract要約: 本稿では、PyPIエコシステム全体にわたる脆弱な依存関係の定量的解析であるPyPitfallを紹介する。 我々は,378,573個のPyPIパッケージの依存関係構造を分析し,少なくとも1つの既知の拡張可能なバージョンを必要とする4,655個のパッケージを特定した。 我々は,Pythonソフトウェアサプライチェーンのセキュリティに対する認識を高めることを目的としている。
• 参考スコア（独自算出の注目度）: 1.2644387713029346
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Python software development heavily relies on third-party packages. Direct and transitive dependencies create a labyrinth of software supply chains. While it is convenient to reuse code, vulnerabilities within these dependency chains can propagate through dependencies, potentially affecting down-stream packages and applications. PyPI, the official Python package repository, hosts many packages and lacks a comprehensive analysis of the prevalence of vulnerable dependencies. This paper introduces PyPitfall, a quantitative analysis of vulnerable dependencies across the PyPI ecosystem. We analyzed the dependency structures of 378,573 PyPI packages and identified 4,655 packages that explicitly require at least one known-vulnerable version and 141,044 packages that permit vulnerable versions within specified ranges. By characterizing the ecosystem-wide dependency landscape and the security impact of transitive dependencies, we aim to raise awareness of Python software supply chain security.
• Abstract（参考訳）: Pythonソフトウェア開発はサードパーティのパッケージに大きく依存している。 直接的かつ推移的な依存関係は、ソフトウェアサプライチェーンのラビリンスを生み出します。 コードの再利用は便利だが、依存関係チェーン内の脆弱性は依存関係を通じて伝播し、ダウンストリームパッケージやアプリケーションに影響を与える可能性がある。 公式のPythonパッケージリポジトリであるPyPIは、多くのパッケージをホストし、脆弱性のある依存関係の頻度に関する包括的な分析を欠いている。 本稿では、PyPIエコシステム全体にわたる脆弱な依存関係の定量的解析であるPyPitfallを紹介する。 我々は,378,573 PyPIパッケージの依存関係構造を分析し,少なくとも1つの既知の脆弱性のあるバージョンを必要とする4,655パッケージと,特定の範囲内で脆弱性のあるバージョンを許可する141,044パッケージを特定した。 エコシステム全体の依存関係の状況と過渡的依存関係のセキュリティへの影響を特徴付けることで、Pythonソフトウェアサプライチェーンのセキュリティに対する認識を高めることを目指している。

関連論文リスト

• Analyzing the Usage of Donation Platforms for PyPI Libraries [91.97201077607862]
  本研究では,PyPIエコシステムにおける寄付プラットフォームの導入状況について分析した。 GitHub Sponsorsが支配的なプラットフォームであるが、多くのPyPIリストのリンクは時代遅れである。
  論文  参考訳（メタデータ） (2025-03-11T10:27:31Z)
• Rethinking Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain [2.4969046521751768]
  本稿では,サードパーティパッケージへの依存を最小限に抑えるためのソフトウェア開発プラクティスの転換を提唱する。 これらのエンドツーエンドパッケージは、エコシステムにおいて重要な役割を担っているため、ユニークな洞察を提供する。
  論文  参考訳（メタデータ） (2025-03-04T17:26:34Z)
• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• PyPulse: A Python Library for Biosignal Imputation [58.35269251730328]
  PyPulseは,臨床およびウェアラブルの両方のセンサ設定において生体信号の計算を行うPythonパッケージである。 PyPulseのフレームワークは、非機械学習バイオリサーバーを含む幅広いユーザーベースに対して、使い勝手の良いモジュラーで拡張可能なフレームワークを提供する。 PyPulseはMITライセンスでGithubとPyPIでリリースしました。
  論文  参考訳（メタデータ） (2024-12-09T11:00:55Z)
• A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
  現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。 この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。 本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
  論文  参考訳（メタデータ） (2024-12-06T18:49:06Z)
• Analyzing the Accessibility of GitHub Repositories for PyPI and NPM Libraries [91.97201077607862]
  産業アプリケーションはオープンソースソフトウェア(OSS)ライブラリに大きく依存しており、様々な利点を提供している。 このようなコミュニティの活動を監視するには、エコシステムのライブラリの包括的なリポジトリのリストにアクセスしなければなりません。 本研究では、PyPIライブラリとNPMライブラリのGitHubリポジトリのアクセシビリティを分析する。
  論文  参考訳（メタデータ） (2024-04-26T13:27:04Z)
• pyvene: A Library for Understanding and Improving PyTorch Models via Interventions [79.72930339711478]
  $textbfpyvene$は、さまざまなPyTorchモジュールに対するカスタマイズ可能な介入をサポートするオープンソースライブラリである。 私たちは、$textbfpyvene$が、ニューラルモデルへの介入を実行し、他のモデルとインターバルされたモデルを共有するための統一されたフレームワークを提供する方法を示します。
  論文  参考訳（メタデータ） (2024-03-12T16:46:54Z)
• Less is More? An Empirical Study on Configuration Issues in Python PyPI Ecosystem [38.44692482370243]
  Pythonはオープンソースコミュニティで広く使われている。 サードパーティのライブラリは依存関係の衝突を引き起こす可能性があるため、研究者は依存関係の衝突検知器を開発する必要がある。 依存関係を自動的に推論する試みが実施された。
  論文  参考訳（メタデータ） (2023-10-19T09:07:51Z)
• On the Feasibility of Cross-Language Detection of Malicious Packages in npm and PyPI [6.935278888313423]
  悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。 最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。 言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-10-14T12:32:51Z)
• DADApy: Distance-based Analysis of DAta-manifolds in Python [51.37841707191944]
  DADApyは、高次元データの分析と特徴付けのためのピソンソフトウェアパッケージである。 固有次元と確率密度を推定し、密度に基づくクラスタリングを行い、異なる距離メトリクスを比較する方法を提供する。
  論文  参考訳（メタデータ） (2022-05-04T08:41:59Z)
• pyBART: Evidence-based Syntactic Transformations for IE [52.93947844555369]
  pyBARTは、英語のUD木を拡張UDグラフに変換するためのオープンソースのPythonライブラリである。 パターンに基づく関係抽出のシナリオで評価すると、より少ないパターンを必要としながら、より高精細なUDよりも高い抽出スコアが得られる。
  論文  参考訳（メタデータ） (2020-05-04T07:38:34Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。