論文の概要: Unlocking Reproducibility: Automating re-Build Process for Open-Source Software
- arxiv url: http://arxiv.org/abs/2509.08204v1
- Date: Wed, 10 Sep 2025 00:23:08 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-11 15:16:52.277147
- Title: Unlocking Reproducibility: Automating re-Build Process for Open-Source Software
- Title(参考訳): 再現性を解き放つ - オープンソースソフトウェアのための再ビルドプロセスを自動化する
- Authors: Behnaz Hassanshahi, Trong Nhan Mai, Benjamin Selwyn Smith, Nicholas Allen,
- Abstract要約: Maven Centralのようなソフトウェアエコシステムは、現代のソフトウェアサプライチェーンにおいて重要な役割を果たす。
上位1200の一般的なアーティファクトの約84%は、透過的なCI/CDパイプラインを使用して構築されていない。
業界レベルのオープンソースサプライチェーンセキュリティフレームワークであるMavenを拡張して,Mavenアーティファクトのソースからの再構築を自動化する。
- 参考スコア(独自算出の注目度): 0.06124773188525717
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Software ecosystems like Maven Central play a crucial role in modern software supply chains by providing repositories for libraries and build plugins. However, the separation between binaries and their corresponding source code in Maven Central presents a significant challenge, particularly when it comes to linking binaries back to their original build environment. This lack of transparency poses security risks, as approximately 84% of the top 1200 commonly used artifacts are not built using a transparent CI/CD pipeline. Consequently, users must place a significant amount of trust not only in the source code but also in the environment in which these artifacts are built. Rebuilding software artifacts from source provides a robust solution to improve supply chain security. This approach allows for a deeper review of code, verification of binary-source equivalence, and control over dependencies. However, challenges arise due to variations in build environments, such as JDK versions and build commands, which can lead to build failures. Additionally, ensuring that all dependencies are rebuilt from source across large and complex dependency graphs further complicates the process. In this paper, we introduce an extension to Macaron, an industry-grade open-source supply chain security framework, to automate the rebuilding of Maven artifacts from source. Our approach improves upon existing tools, by offering better performance in source code detection and automating the extraction of build specifications from GitHub Actions workflows. We also present a comprehensive root cause analysis of build failures in Java projects and propose a scalable solution to automate the rebuilding of artifacts, ultimately enhancing security and transparency in the open-source supply chain.
- Abstract(参考訳): Maven Centralのようなソフトウェアエコシステムは、ライブラリやビルドプラグインのリポジトリを提供することによって、現代のソフトウェアサプライチェーンにおいて重要な役割を果たす。
しかし、Maven Centralにおけるバイナリと対応するソースコードの分離は、特にバイナリを元のビルド環境にリンクすることに関して、大きな課題となる。
この透明性の欠如はセキュリティ上のリスクをもたらし、上位1200の一般的なアーティファクトの約84%が透過的なCI/CDパイプラインを使用して構築されていない。
その結果、ユーザーはソースコードだけでなく、これらのアーティファクトが構築される環境にもかなりの信頼を払わなければならない。
ソースからソフトウェアアーティファクトを再構築することで、サプライチェーンのセキュリティを改善する堅牢なソリューションを提供する。
このアプローチにより、コードのより深いレビュー、バイナリソースの等価性の検証、依存関係の制御が可能になる。
しかし、JDKのバージョンやビルドコマンドといったビルド環境の変化によって、ビルドの失敗につながる可能性があるため、課題が発生する。
さらに、大規模で複雑な依存グラフにまたがって、すべての依存関係がソースから再構築されることを保証することで、プロセスはさらに複雑になる。
本稿では,業界レベルのオープンソースサプライチェーンセキュリティフレームワークであるMacaronを拡張して,Mavenアーティファクトのソースからの再構築を自動化する。
当社のアプローチでは,ソースコード検出のパフォーマンス向上と,GitHub Actionsワークフローからビルド仕様の抽出を自動化することで,既存のツールを改善しています。
また、Javaプロジェクトでのビルド失敗を包括的に根本原因分析を行い、アーティファクトの再構築を自動化するスケーラブルなソリューションを提案し、最終的にはオープンソースのサプライチェーンにおけるセキュリティと透明性を向上します。
関連論文リスト
- Code2MCP: A Multi-Agent Framework for Automated Transformation of Code Repositories into Model Context Protocol Services [49.5217775646447]
この記事では、GitHubリポジトリを機能的なMSPサービスに変換するように設計された、高度に自動化されたフレームワークであるCode2MCPを紹介します。
私たちのフレームワークの重要な革新は、LCM駆動でクローズドループの"Run--Review-Fix"サイクルです。
論文 参考訳(メタデータ) (2025-09-07T06:13:25Z) - A.S.E: A Repository-Level Benchmark for Evaluating Security in AI-Generated Code [48.10068691540979]
A.S.E(AI Code Generation Security Evaluation、AIコード生成セキュリティ評価)は、現実のAIプログラミングタスクを密接に反映するように設計されたリポジトリレベルの評価ベンチマークである。
大規模言語モデル(LLM)をA.S.E上で評価した結果,いくつかの重要な知見が得られた。
論文 参考訳(メタデータ) (2025-08-25T15:11:11Z) - Attestable builds: compiling verifiable binaries on untrusted systems using trusted execution environments [3.207381224848367]
attestableビルドは、ソフトウェアアーティファクトに強力なソース対バイナリ対応を提供する。
私たちは、ソースコードと最終バイナリアーティファクトの間の信頼を切断する不透明なビルドパイプラインの課題に取り組みます。
論文 参考訳(メタデータ) (2025-05-05T10:00:04Z) - Canonicalization for Unreproducible Builds in Java [11.367562045401554]
再現可能なビルドの概念フレームワークを導入し,再現可能な中央からの大きなデータセットを分析し,再現不可能な6つの根本原因の新たな分類法を開発した。
再現不可能な12,283のアーティファクトに対して、9.48%から26.89%に成功を収めるツールであるChains-Rebuildを紹介します。
論文 参考訳(メタデータ) (2025-04-30T14:17:54Z) - Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。
本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。
私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
論文 参考訳(メタデータ) (2025-04-24T12:06:11Z) - Bomfather: An eBPF-based Kernel-level Monitoring Framework for Accurate Identification of Unknown, Unused, and Dynamically Loaded Dependencies in Modern Software Supply Chains [0.0]
依存性追跡手法の不正確さは、現代のソフトウェアサプライチェーンのセキュリティと整合性を損なう。
本稿では,拡張バークレーパケットフィルタ(eBPF)を利用したカーネルレベルのフレームワークを提案する。
論文 参考訳(メタデータ) (2025-03-03T22:32:59Z) - ReF Decompile: Relabeling and Function Call Enhanced Decompile [50.86228893636785]
逆コンパイルの目標は、コンパイルされた低レベルコード(アセンブリコードなど)を高レベルプログラミング言語に変換することである。
このタスクは、脆弱性識別、マルウェア分析、レガシーソフトウェアマイグレーションなど、さまざまなリバースエンジニアリングアプリケーションをサポートする。
論文 参考訳(メタデータ) (2025-02-17T12:38:57Z) - Automatic Bill of Materials [5.14387789987357]
ABOMはそれぞれの異なる入力ソースコードファイルのハッシュをコンパイラが出力するバイナリに埋め込む。
エコシステム全体で活用すれば、ABOMは高速サプライチェーンアタック検出のためのゼロタッチ、後方互換性、ドロップインソリューションを提供する。
論文 参考訳(メタデータ) (2023-10-15T05:48:11Z) - Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。