論文の概要: On the Freshness of Pinned Dependencies in Maven

• arxiv url: http://arxiv.org/abs/2510.22815v1
• Date: Sun, 26 Oct 2025 20:02:49 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-28 15:28:15.376211
• Title: On the Freshness of Pinned Dependencies in Maven
• Title（参考訳）: Mavenにおけるピント依存の鮮度について
• Authors: Vasudev Vikram, Yuvraj Agarwal, Rohan Padhye,
• Abstract要約: 人気の高いMavenライブラリの利用者の60%以上が、依存関係に固定されたピンを持っていることを示しています。 我々はPin-Freshenerというアプローチをプロトタイプし、ピアプロジェクトのクラウドソーステストを活用することで、開発者がピンを更新できるようにします。 Mavenの人気のあるライブラリのトップ500に対する実世界のピンに関する我々の評価は、Pin-Freshenerが少なくとも5つのクラウドソーステストスイートをパスする余分な信号を提供できることを示している。
• 参考スコア（独自算出の注目度）: 6.5131796406898745
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: Library dependencies in software ecosystems play a crucial role in the development of software. As newer releases of these libraries are published, developers may opt to pin their dependencies to a particular version. While pinning may have benefits in ensuring reproducible builds and avoiding breaking changes, it bears larger risks in using outdated dependencies that may contain bugs and security vulnerabilities. To understand the frequency and consequences of dependency pinning, we first define the concepts of stale and fresh pins, which are distinguished based on how outdated the dependency is relative to the release date of the project. We conduct an empirical study to show that over 60% of consumers of popular Maven libraries contain stale pins to their dependencies, with some outdated versions over a year old. These pinned versions often miss out on security fixes; we find that 10% of all dependency upgrades in our dataset to the latest minor or patch version would reduce security vulnerabilities. We prototype an approach called Pin-Freshener that can encourage developers to freshen their pins by leveraging the insight that crowdsourced tests of peer projects can provide additional signal for the safety of an upgrade. Running Pin-Freshener on dependency upgrades shows that just 1-5 additional test suites can provide 35-100% more coverage of a dependency, compared to that of a single consumer test suite. Our evaluation on real-world pins to the top 500 popular libraries in Maven shows that Pin-Freshener can provide an additional signal of at least 5 passing crowdsourced test suites to over 3,000 consumers to safely perform an upgrade that reduces security vulnerabilities. Pin-Freshener can provide practical confidence to developers by offering additional signal beyond their own test suites, representing an improvement over current practices.
• Abstract（参考訳）: ソフトウェアエコシステムにおけるライブラリの依存関係は、ソフトウェア開発において重要な役割を果たす。 これらのライブラリの最新リリースが公開されると、開発者は依存関係を特定のバージョンにピン留めすることを選択できる。 ピンニングは再現可能なビルドの確保と変更の破壊を避ける上でメリットがあるかもしれないが、バグやセキュリティ上の脆弱性を含む古い依存関係を使用する場合のリスクは大きい。 依存関係ピンニングの頻度と結果を理解するために,我々はまず,依存性がプロジェクトのリリース日と比較される時代遅れと新鮮ピンの概念を定義した。 私たちは、ポピュラーなMavenライブラリの60%以上の消費者が依存性に固定されたピンを持ち、1年以上前の古いバージョンを持っていることを示す実証的研究を行います。 最新のマイナーバージョンやパッチバージョンへのデータセットの依存関係アップグレードの10%は、セキュリティ上の脆弱性を減少させます。 私たちはPin-Freshenerというアプローチのプロトタイプを作成しました。Pin-Freshenerは、ピアプロジェクトのクラウドソーステストがアップグレードの安全性に新たなシグナルを与えることができるという洞察を活用することで、開発者がピンを更新できるようにします。 依存性のアップグレードでPin-Freshenerを実行することで、単一のコンシューマテストスイートと比較して依存性を35～100%カバーできるのは、わずか1～5つのテストスイートに過ぎないことが分かる。 Mavenの人気のあるライブラリのトップ500に対する実世界のピンに関する我々の評価は、Pin-Freshenerが少なくとも5つのクラウドソーステストスイートを3,000以上のコンシューマに渡すことで、セキュリティ上の脆弱性を低減できるアップグレードを安全に実行できることを示しています。 Pin-Freshenerは、自身のテストスイートを超えて、現在のプラクティスよりも改善されたシグナルを提供することで、開発者に実用的な信頼を提供することができる。

関連論文リスト

• Maven-Lockfile: High Integrity Rebuild of Past Java Releases [8.004632448033531]
  MavenはJavaエコシステムにおいて最も重要なパッケージマネージャの1つです。 Maven-Lockfileを使ってロックファイルの生成と更新を行い、過去のバージョンからのプロジェクトの再構築をサポートしています。 評価の結果、Maven-Lockfileは過去のコミットからビルドを再現でき、改ざんされたアーティファクトを検出できることがわかった。
  論文  参考訳（メタデータ） (2025-10-01T10:14:32Z)
• Faster Releases, Fewer Risks: A Study on Maven Artifact Vulnerabilities and Lifecycle Management [0.14999444543328289]
  私たちは1万のMavenアーティファクトのリリース履歴を分析し、203,000以上のリリースと170万の依存関係をカバーしています。 以上の結果から,リリース速度と依存性の陳腐化との間には逆の関係が認められた。 これらの知見は、セキュリティリスクの低減におけるリリース戦略の加速の重要性を強調している。
  論文  参考訳（メタデータ） (2025-03-31T17:32:45Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• See to Believe: Using Visualization To Motivate Updating Third-party Dependencies [1.7914660044009358]
  サードパーティの依存関係を使用したアプリケーションによって導入されたセキュリティ脆弱性が増加している。 開発者はライブラリのアップデートに注意を払っており、脆弱性の修正にも注意している。 本稿では、依存性グラフ可視化(DGV)アプローチが、開発者が更新を動機付けると仮定する。
  論文  参考訳（メタデータ） (2024-05-15T03:57:27Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• Vulnerability Propagation in Package Managers Used in iOS Development [2.9280059958992286]
  脆弱性はよく知られたライブラリでも見られる。 Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。 公開脆弱性が報告されているほとんどのライブラリはCで記述されているが、公開脆弱性の最も大きな影響は、ネイティブiOS言語で記述されたライブラリから来ている。
  論文  参考訳（メタデータ） (2023-05-17T16:22:38Z)
• RoFL: Attestable Robustness for Secure Federated Learning [59.63865074749391]
  フェデレートラーニング(Federated Learning)により、多数のクライアントが、プライベートデータを共有することなく、ジョイントモデルをトレーニングできる。 クライアントのアップデートの機密性を保証するため、フェデレートラーニングシステムはセキュアなアグリゲーションを採用している。 悪意のあるクライアントに対する堅牢性を向上させるセキュアなフェデレート学習システムであるRoFLを提案する。
  論文  参考訳（メタデータ） (2021-07-07T15:42:49Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。