論文の概要: Which Is Better For Reducing Outdated and Vulnerable Dependencies: Pinning or Floating?

• arxiv url: http://arxiv.org/abs/2510.08609v2
• Date: Thu, 23 Oct 2025 15:40:40 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-25 03:08:11.037187
• Title: Which Is Better For Reducing Outdated and Vulnerable Dependencies: Pinning or Floating?
• Title（参考訳）: 時代遅れと脆弱性のある依存関係を減らすには、どちらがよいか - ピン留めか、フローティングか?
• Authors: Imranur Rahman, Jill Marley, William Enck, Laurie Williams,
• Abstract要約: この研究の目的は、開発者が情報に依存したバージョン制約を選択するのを支援することである。 セキュリティ実践者は、ソフトウェアサプライチェーンの攻撃を防ぐための依存関係の注入を提唱する。 最も一般的に使用されるバージョン制約型は、エンファンパイニング(Emphpinning)が次に一般的である、エンファンフローティングミナー(Emphfloating-minor)である。
• 参考スコア（独自算出の注目度）: 3.0806232926621715
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Developers consistently use version constraints to specify acceptable versions of the dependencies for their project. \emph{Pinning} dependencies can reduce the likelihood of breaking changes, but comes with a cost of manually managing the replacement of outdated and vulnerable dependencies. On the other hand, \emph{floating} can be used to automatically get bug fixes and security fixes, but comes with the risk of breaking changes. Security practitioners advocate \emph{pinning} dependencies to prevent against software supply chain attacks, e.g., malicious package updates. However, since \emph{pinning} is the tightest version constraint, \emph{pinning} is the most likely to result in outdated dependencies. Nevertheless, how the likelihood of becoming outdated or vulnerable dependencies changes across version constraint types is unknown. The goal of this study is to aid developers in making an informed dependency version constraint choice by empirically evaluating the likelihood of dependencies becoming outdated or vulnerable across version constraint types at scale. In this study, we first identify the trends in dependency version constraint usage and the patterns of version constraint type changes made by developers in the npm, PyPI, and Cargo ecosystems. We then modeled the dependency state transitions using survival analysis and estimated how the likelihood of becoming outdated or vulnerable changes when using \emph{pinning} as opposed to the rest of the version constraint types. We observe that among outdated and vulnerable dependencies, the most commonly used version constraint type is \emph{floating-minor}, with \emph{pinning} being the next most common. We also find that \emph{floating-major} is the least likely to result in outdated and \emph{floating-minor} is the least likely to result in vulnerable dependencies.
• Abstract（参考訳）: 開発者は一貫してバージョン制約を使用して、プロジェクトの依存関係の許容バージョンを指定する。 \emph{Pinning}依存性は、変更を壊す可能性を減らすことができるが、古くて脆弱な依存関係の置き換えを手動で管理するコストが伴う。 一方、 \emph{floating} はバグ修正やセキュリティ修正を自動的に受けられるが、変更を壊すリスクがある。 セキュリティ実践者は、ソフトウェアサプライチェーンの攻撃、例えば悪意のあるパッケージ更新を防ぐために、‘emph{pinning}依存性を提唱する。 しかしながら、 \emph{pinning} が最も厳密なバージョン制約であるため、 \emph{pinning} は時代遅れな依存関係をもたらす可能性が最も高い。 それでも、古いものや脆弱な依存関係がバージョン制約タイプによってどのように変化するのかは不明だ。 本研究の目的は,大規模なバージョン制約タイプにまたがって依存性が時代遅れあるいは脆弱になる可能性を実証的に評価することによって,インフォデントバージョン制約の選択を支援することである。 本研究では,npm,PyPI,Cargoの各エコシステムの開発者による,依存性バージョン制約利用の傾向とバージョン制約タイプ変更のパターンを明らかにする。 次に、サバイバル分析を用いて依存状態遷移をモデル化し、残りのバージョン制約型とは対照的に、 'emph{pinning} を使用する場合の、時代遅れや脆弱な変更の可能性を推定した。 時代遅れで脆弱な依存関係の中で、最も一般的に使用されるバージョン制約型は \emph{floating-minor} であり、次に最も一般的なものは \emph{pinning} である。 また、 \emph{floating-major} は時代遅れになる可能性が低く、 \emph{floating-minor} は脆弱な依存関係をもたらす可能性が低いこともわかりました。

関連論文リスト

• Faster Releases, Fewer Risks: A Study on Maven Artifact Vulnerabilities and Lifecycle Management [0.14999444543328289]
  私たちは1万のMavenアーティファクトのリリース履歴を分析し、203,000以上のリリースと170万の依存関係をカバーしています。 以上の結果から,リリース速度と依存性の陳腐化との間には逆の関係が認められた。 これらの知見は、セキュリティリスクの低減におけるリリース戦略の加速の重要性を強調している。
  論文  参考訳（メタデータ） (2025-03-31T17:32:45Z)
• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• Train Till You Drop: Towards Stable and Robust Source-free Unsupervised 3D Domain Adaptation [62.889835139583965]
  本研究では,3次元セマンティックセグメンテーションのための非教師なし領域適応(SFUDA)の問題に取り組む。 ソースデータにアクセスすることなく、ラベルのないターゲットドメインでドメイン適応を実行する。 既存のSFUDAアプローチの一般的な問題は、あるトレーニング時間後にパフォーマンスが低下することです。
  論文  参考訳（メタデータ） (2024-09-06T17:13:14Z)
• Steering Without Side Effects: Improving Post-Deployment Control of Language Models [61.99293520621248]
  言語モデル(LM)は、デプロイ後予期せず振る舞うことが示されている。 KL-then-steer (KTS) は, その利点を保ちながら, 操舵の副作用を低減する技術である。 本手法はLlama-2-chat-7Bモデルと比較して44%のジェイルブレイク攻撃を防ぐ。
  論文  参考訳（メタデータ） (2024-06-21T01:37:39Z)
• No Vulnerability Data, No Problem: Towards Predicting Mean Time To Remediate In Open Source Software Dependencies [7.304461924231725]
  MTTR(Mean-Time-To-Remediate)メトリックは、パッケージの脆弱性のあるバージョンを更新するのにどのくらいの時間を要するか、歴史的な視点を提供することができる。 MTTR_dep$ と $Mean-Time-To-Update_dep$ (MTTU_dep$) を併用した新しいMTTR計算アルゴリズムを提案する。 我々は,npm,PyPI,Cargoの163,207パッケージを用いて大規模な調査を行い,22,513パッケージのみが脆弱性の欠如を理由にMTTR_dep$を生産した。
  論文  参考訳（メタデータ） (2024-03-26T05:01:53Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• Visual Dependency Transformers: Dependency Tree Emerges from Reversed Attention [106.67741967871969]
  ラベルなしで視覚的依存関係を誘導できる視覚依存変換器(DependencyViT)を提案する。 我々は、子トークンが親トークンに出席し、情報を送信するように訓練された依存グラフとしてこれを定式化する。 DependencyViTは、ImageNet上の自己と弱い教師付き事前トレーニングパラダイムの両方でうまく機能する。
  論文  参考訳（メタデータ） (2023-04-06T17:59:26Z)
• Bilateral Dependency Optimization: Defending Against Model-inversion Attacks [61.78426165008083]
  本稿では,モデル反転攻撃に対する二元的依存性最適化(BiDO)戦略を提案する。 BiDOは、さまざまなデータセット、分類器、MI攻撃に対する最先端の防御性能を達成する。
  論文  参考訳（メタデータ） (2022-06-11T10:07:03Z)
• Online Selective Classification with Limited Feedback [82.68009460301585]
  オンライン学習モデルにおいて、予測者がインスタンスの分類を控える可能性のある選択的分類について検討する。 私たちが考慮している設定の健全な2つの側面は、データが不可避である可能性があるため、データは不可避である可能性があるということです。 smash$tildeO(T1-mu)$ over abstention against Adaptive adversaries. smash$tildeO(T1-mu)$ incurring smash$tildeO(T1-mu)$ over abstention。
  論文  参考訳（メタデータ） (2021-10-27T08:00:53Z)
• Please Mind the Root: Decoding Arborescences for Dependency Parsing [67.71280539312536]
  我々はUniversal Dependency Treebankから多くの言語における最先端の出力を分析する。 最悪の制約違反率は24%です。
  論文  参考訳（メタデータ） (2020-10-06T08:31:14Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。