論文の概要: Exploring the SECURITY.md in the Dependency Chain: Preliminary Analysis of the PyPI Ecosystem
- arxiv url: http://arxiv.org/abs/2511.22186v1
- Date: Thu, 27 Nov 2025 07:51:48 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-01 19:47:55.447283
- Title: Exploring the SECURITY.md in the Dependency Chain: Preliminary Analysis of the PyPI Ecosystem
- Title(参考訳): 依存関係連鎖におけるSecURITY.mdの探索:PyPI生態系の予備解析
- Authors: Chayanid Termphaiboon, Raula Gaikovina Kula, Youmei Fan, Morakot Choetkiertikul, Chaiyong Ragkhitwetsagul, Thanwadee Sunetnanta, Kenichi Matsumoto,
- Abstract要約: SECURITY.mdファイルのようなセキュリティポリシーは、現在オープンソースプロジェクトで一般的である。
本研究では,PyPIプロジェクトにおけるセキュリティポリシと依存性管理の関係について検討する。
- 参考スコア(独自算出の注目度): 3.202418533433693
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Security policies, such as SECURITY.md files, are now common in open-source projects. They help guide responsible vulnerability reporting and build trust among users and contributors. Despite their growing use, it is still unclear how these policies influence the structure and evolution of software dependencies. Software dependencies are external packages or libraries that a project relies on, and their interconnected nature affects both functionality and security. This study explores the relationship between security policies and dependency management in PyPI projects. We analyzed projects with and without a SECURITY.md file by examining their dependency trees and tracking how dependencies change over time. The analysis shows that projects with a security policy tend to rely on a broader set of direct dependencies, while overall depth and transitive dependencies remain similar. Historically, projects created after the introduction of SECURITY.md, particularly later adopters, show more frequent dependency updates. These results suggest that security policies are linked to more modular and feature-rich projects, and highlight the role of SECURITY.md in promoting proactive dependency management and reducing risks in the software supply chain.
- Abstract(参考訳): SECURITY.mdファイルのようなセキュリティポリシーは、現在オープンソースプロジェクトで一般的である。
責任ある脆弱性の報告とユーザとコントリビュータ間の信頼構築を支援する。
利用が増えているにもかかわらず、これらのポリシーがソフトウェア依存関係の構造と進化にどのように影響するかは、まだ不明である。
ソフトウェア依存関係は、プロジェクトが依存する外部パッケージまたはライブラリであり、それらの相互接続性は機能とセキュリティの両方に影響を与える。
本研究では,PyPIプロジェクトにおけるセキュリティポリシと依存性管理の関係について検討する。
依存関係ツリーを調べ、時間とともに依存関係がどのように変化するかを追跡することで、SECURITY.mdファイルでプロジェクトを分析しました。
この分析によると、セキュリティポリシーを持つプロジェクトは、全体的な深さと推移的な依存関係が相変わらず、より広範な直接的な依存関係に依存する傾向にある。
歴史的に、SECURITY.mdの導入後に作成されたプロジェクト、特に後続のアダプタは、より頻繁な依存性更新を示している。
これらの結果は、セキュリティポリシーがよりモジュール的で機能豊富なプロジェクトと結びついており、プロアクティブな依存性管理を促進し、ソフトウェアサプライチェーンのリスクを低減する上でのSECURITY.mdの役割を強調していることを示唆している。
関連論文リスト
- Out of Sight, Still at Risk: The Lifecycle of Transitive Vulnerabilities in Maven [0.3670008893193884]
間接的な依存関係から生じる過渡的脆弱性は、共通脆弱性や露出に関連するリスクにプロジェクトを公開します。
我々は、CVE導入後のプロジェクトの露出時間を測定するためにサバイバル分析を採用している。
Mavenプロジェクトの大規模なデータセットを使用して、これらの脆弱性の解決に影響を及ぼす要因を特定します。
論文 参考訳(メタデータ) (2025-04-07T07:54:15Z) - Insights into Dependency Maintenance Trends in the Maven Ecosystem [0.14999444543328289]
Goblinフレームワークを用いてNeo4jデータセットの定量的解析を行う。
私たちの分析によると、依存関係が少ないリリースでは、より多くのリリースが欠落していることがわかった。
本研究は,最新リリースの依存関係には肯定的な新鮮度スコアがあり,ソフトウェア管理の有効性が向上していることを示す。
論文 参考訳(メタデータ) (2025-03-28T22:20:24Z) - Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。
セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。
我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
論文 参考訳(メタデータ) (2025-02-10T16:50:48Z) - An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。
このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
論文 参考訳(メタデータ) (2024-09-27T16:20:20Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - What's in a Package? Getting Visibility Into Dependencies Using Security-Sensitive API Calls [3.6525326603691504]
本稿では,エコシステムのためのセキュリティに敏感なAPIリストを構築するための新しい手法を提案する。
次に、機能的に類似したパッケージグループにおけるセキュリティに敏感なAPIの頻度を比較します。
開発者の半数以上が、もし利用可能であれば、依存関係の選択プロセスでセキュリティに敏感なAPI情報を使用するだろう。
論文 参考訳(メタデータ) (2024-08-05T22:01:18Z) - Dependency Practices for Vulnerability Mitigation [4.710141711181836]
npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
論文 参考訳(メタデータ) (2023-10-11T19:48:46Z) - Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。