論文の概要: Detecting and Characterizing Low and No Functionality Packages in the NPM Ecosystem

• arxiv url: http://arxiv.org/abs/2510.04495v1
• Date: Mon, 06 Oct 2025 05:11:49 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-07 16:52:59.689274
• Title: Detecting and Characterizing Low and No Functionality Packages in the NPM Ecosystem
• Title（参考訳）: NPM生態系における低機能パッケージの検出と評価
• Authors: Napasorn Tevarut, Brittany Reid, Yutaro Kashiwa, Pattara Leelaprute, Arnon Rungsawang, Bundit Manaskasemsak, Hajimu Iida,
• Abstract要約: 機能が少ない小さなモジュールであるトライアルパッケージはnpmエコシステムで一般的である。 本稿では、既存の定義を洗練し、実行可能なロジックを含まないデータのみのパッケージを導入する。 ルールに基づく静的解析法を開発し, 自明かつデータのみのパッケージを検出する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Trivial packages, small modules with low functionality, are common in the npm ecosystem and can pose security risks despite their simplicity. This paper refines existing definitions and introduce data-only packages that contain no executable logic. A rule-based static analysis method is developed to detect trivial and data-only packages and evaluate their prevalence and associated risks in the 2025 npm ecosystem. The analysis shows that 17.92% of packages are trivial, with vulnerability levels comparable to non-trivial ones, and data-only packages, though rare, also contain risks. The proposed detection tool achieves 94% accuracy (macro-F1 0.87), enabling effective large-scale analysis to reduce security exposure. This findings suggest that trivial and data-only packages warrant greater attention in dependency management to reduce potential technical debt and security exposure.
• Abstract（参考訳）: 機能不足の小さなモジュールであるTrivialパッケージはnpmエコシステムで一般的であり、単純さにもかかわらずセキュリティ上のリスクを生じさせる可能性がある。 本稿では、既存の定義を洗練し、実行可能なロジックを含まないデータのみのパッケージを導入する。 ルールに基づく静的解析法は, 自明でデータのみのパッケージを検出し, 2025 npm エコシステムにおけるその頻度と関連するリスクを評価する。 この分析によると、パッケージの17.92%は自明で、脆弱性レベルは非自明なパッケージに匹敵する。 提案する検出ツールは94%の精度 (macro-F1 0.87) を達成し, 大規模解析によるセキュリティ露出の低減を実現している。 この結果は、技術的負債やセキュリティの暴露を減らすために、自明でデータのみのパッケージが依存性管理により多くの注意を払っていることを示唆している。

関連論文リスト

• Rethinking Evaluation of Infrared Small Target Detection [105.59753496831739]
  本稿では,画素レベルと目標レベルのパフォーマンスを取り入れたハイブリッドレベルのメトリクスを導入し,システム的エラー解析手法を提案し,クロスデータセット評価の重要性を強調した。 標準化されたベンチマークを容易にするオープンソースツールキットがリリースされた。
  論文  参考訳（メタデータ） (2025-09-21T02:45:07Z)
• Mono: Is Your "Clean" Vulnerability Dataset Really Solvable? Exposing and Trapping Undecidable Patches and Beyond [10.072175823846973]
  既存のセキュリティパッチは、しばしば不正確なラベル、不十分なコンテキスト情報、決定不能なパッチに悩まされる。 信頼性のある脆弱性データセットを構築するための、人間の専門家の推論プロセスをシミュレートする、新しいフレームワークであるmonoを紹介します。 monoはラベリングエラーの31.0%を補正し、プロデュール間脆弱性の89%を回復し、CVEの16.7%が決定不能なパッチを含んでいることを明らかにした。
  論文  参考訳（メタデータ） (2025-06-04T07:43:04Z)
• A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
  現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。 この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。 本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
  論文  参考訳（メタデータ） (2024-12-06T18:49:06Z)
• Probably Approximately Precision and Recall Learning [62.912015491907994]
  精度とリコールは機械学習の基本的な指標である。 一方的なフィードバック – トレーニング中にのみ肯定的な例が観察される – は,多くの実践的な問題に固有のものだ。 PAC学習フレームワークでは,各仮説をグラフで表現し,エッジは肯定的な相互作用を示す。
  論文  参考訳（メタデータ） (2024-11-20T04:21:07Z)
• A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems [13.610690659041417]
  悪意のあるパッケージはメタデータの内容が少なく、正規のパッケージよりも静的関数や動的関数が少ない。 きめ細かい情報(FGI)の1次元は、悪意のあるパッケージを検出するのに十分な識別能力を持っている。
  論文  参考訳（メタデータ） (2024-04-17T15:16:01Z)
• Malicious Package Detection using Metadata Information [0.272760415353533]
  本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。 MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。 実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
  論文  参考訳（メタデータ） (2024-02-12T06:54:57Z)
• Conservative Prediction via Data-Driven Confidence Minimization [70.93946578046003]
  機械学習の安全性クリティカルな応用においては、モデルが保守的であることが望ましいことが多い。 本研究では,不確実性データセットに対する信頼性を最小化するデータ駆動信頼性最小化フレームワークを提案する。
  論文  参考訳（メタデータ） (2023-06-08T07:05:36Z)
• Is Vertical Logistic Regression Privacy-Preserving? A Comprehensive Privacy Analysis and Beyond [57.10914865054868]
  垂直ロジスティック回帰(VLR)をミニバッチ降下勾配で訓練した。 我々は、オープンソースのフェデレーション学習フレームワークのクラスにおいて、VLRの包括的で厳密なプライバシー分析を提供する。
  論文  参考訳（メタデータ） (2022-07-19T05:47:30Z)
• Differential privacy and robust statistics in high dimensions [49.50869296871643]
  高次元Propose-Test-Release (HPTR) は指数的メカニズム、頑健な統計、Propose-Test-Release メカニズムという3つの重要なコンポーネントの上に構築されている。 本論文では,HPTRが複数のシナリオで最適サンプル複雑性をほぼ達成していることを示す。
  論文  参考訳（メタデータ） (2021-11-12T06:36:40Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。