論文の概要: Policy-driven Software Bill of Materials on GitHub: An Empirical Study

• arxiv url: http://arxiv.org/abs/2509.01255v1
• Date: Mon, 01 Sep 2025 08:45:39 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-04 15:17:03.606003
• Title: Policy-driven Software Bill of Materials on GitHub: An Empirical Study
• Title（参考訳）: GitHub上のポリシー駆動のソフトウェア法案 - 実証的研究
• Authors: Oleksii Novikov, Davide Fucci, Oleksandr Adamov, Daniel Mendez,
• Abstract要約: ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials、SBOM)は、ソフトウェアに含まれるすべてのソフトウェア依存関係の機械可読リストである。 政府がSBOMを使用する義務があるにもかかわらず、このアーティファクトの研究はまだ初期段階にある。
• 参考スコア（独自算出の注目度）: 14.398115591070727
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Background. The Software Bill of Materials (SBOM) is a machine-readable list of all the software dependencies included in a software. SBOM emerged as way to assist securing the software supply chain. However, despite mandates from governments to use SBOM, research on this artifact is still in its early stages. Aims. We want to understand the current state of SBOM in open-source projects, focusing specifically on policy-driven SBOMs, i.e., SBOM created to achieve security goals, such as enhancing project transparency and ensuring compliance, rather than being used as fixtures for tools or artificially generated for benchmarking or academic research purposes. Method. We performed a mining software repository study to collect and carefully select SBOM files hosted on GitHub. We analyzed the information reported in policy-driven SBOMs and the vulnerabilities associated with the declared dependencies by means of descriptive statistics. Results. We show that only 0.56% of popular GitHub repositories contain policy-driven SBOM. The declared dependencies contain 2,202 unique vulnerabilities, while 22% of them do not report licensing information. Conclusion. Our findings provide insights for SBOM usage to support security assessment and licensing.
• Abstract（参考訳）: 背景。 ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials、SBOM)は、ソフトウェアに含まれるすべてのソフトウェア依存関係の機械可読リストである。 SBOMはソフトウェアサプライチェーンの確保を支援する手段として登場した。 しかし、政府によるSBOMの使用義務にもかかわらず、このアーティファクトの研究はまだ初期段階にある。 エイムズ。 我々は、オープンソースのプロジェクトにおけるSBOMの現状を理解したい。SBOMは、セキュリティ目標を達成するために作られたポリシー駆動のSBOM、すなわち、プロジェクトの透明性の強化やコンプライアンスの確保などに焦点を当て、ベンチマークや学術研究目的で人工的に生成されたツールやツールのフィクスチャとして使われるのではなく、その状況を理解したい。 方法。 私たちは、GitHubにホストされているSBOMファイルを収集し、慎重に選択するために、マイニングソフトウェアリポジトリスタディを実行しました。 我々は、ポリシー駆動型SBOMで報告された情報と宣言された依存関係に関連する脆弱性を記述統計を用いて分析した。 結果。 私たちは、人気のあるGitHubリポジトリの0.56%にポリシー駆動のSBOMが含まれていることを示しています。 宣言された依存関係には2,202のユニークな脆弱性が含まれている。 結論。 本研究は,セキュリティアセスメントとライセンシングを支援するため,SBOMの使用状況に関する知見を提供する。

関連論文リスト

• A Dataset of Software Bill of Materials for Evaluating SBOM Consumption Tools [6.081142345739704]
  ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェアで使用されるコンポーネントの一覧である。 多くのツールは、SBOMを通じてソフトウェア依存の管理をサポートする。 この目的のために特別に設計されたデータセットは公開されていない。 実世界のJavaプロジェクトから生成されたSBOMのデータセットを示す。
  論文  参考訳（メタデータ） (2025-04-09T13:35:02Z)
• Augmenting Software Bills of Materials with Software Vulnerability Description: A Preliminary Study on GitHub [10.609785671796873]
  本稿では,40のオープンソースプロジェクトのSBOMに共通脆弱性と露出に関する情報を付加する予備研究の結果を報告する。 当社の強化されたSBOMは、プルリクエストを提出し、プロジェクトオーナーに調査への回答を求めることで評価されています。 ほとんどの場合、SBOMの更新を継続する必要があるため、拡張SBOMは直接受け入れられなかったが、受信したフィードバックは、提案されたSBOM拡張の有用性を示している。
  論文  参考訳（メタデータ） (2025-03-18T08:04:22Z)
• SWE-Fixer: Training Open-Source LLMs for Effective and Efficient GitHub Issue Resolution [56.9361004704428]
  大規模言語モデル(LLM)は、様々な複雑なタスクにまたがる顕著な習熟度を示している。 SWE-Fixerは、GitHubの問題を効果的かつ効率的に解決するために設計された、新しいオープンソースフレームワークである。 我々は,SWE-Bench LiteとVerifiedベンチマークに対するアプローチを評価し,オープンソースモデル間の競合性能を実現する。
  論文  参考訳（メタデータ） (2025-01-09T07:54:24Z)
• Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
  SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。 ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。 我々は、SBOMのアウトプットに組み込むことができる信頼について、より深く、体系的に調査する。
  論文  参考訳（メタデータ） (2024-12-06T15:52:12Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Alibaba LingmaAgent: Improving Automated Issue Resolution via Comprehensive Repository Exploration [64.19431011897515]
  本稿では,問題解決のためにソフトウェアリポジトリ全体を包括的に理解し,活用するために設計された,新しいソフトウェアエンジニアリング手法であるAlibaba LingmaAgentを提案する。 提案手法では,重要なリポジトリ情報を知識グラフに凝縮し,複雑さを低減し,モンテカルロ木探索に基づく戦略を採用する。 Alibaba Cloudの製品展開と評価において、LingmaAgentは、開発エンジニアが直面した社内問題の16.9%を自動で解決し、手作業による介入で43.3%の問題を解決した。
  論文  参考訳（メタデータ） (2024-06-03T15:20:06Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• SafePILCO: a software tool for safe and data-efficient policy synthesis [67.17251247987187]
  SafePILCOは、強化学習による安全でデータ効率のよいポリシー検索のためのソフトウェアツールである。 これは、Pythonで書かれた既知のPILCOアルゴリズムを拡張し、安全な学習をサポートする。
  論文  参考訳（メタデータ） (2020-08-07T17:17:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。