論文の概要: Exploring the SECURITY.md in the Dependency Chain: Preliminary Analysis of the PyPI Ecosystem
- arxiv url: http://arxiv.org/abs/2511.22186v1
- Date: Thu, 27 Nov 2025 07:51:48 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-01 19:47:55.447283
- Title: Exploring the SECURITY.md in the Dependency Chain: Preliminary Analysis of the PyPI Ecosystem
- Title(参考訳): 依存関係連鎖におけるSecURITY.mdの探索:PyPI生態系の予備解析
- Authors: Chayanid Termphaiboon, Raula Gaikovina Kula, Youmei Fan, Morakot Choetkiertikul, Chaiyong Ragkhitwetsagul, Thanwadee Sunetnanta, Kenichi Matsumoto,
- Abstract要約: SECURITY.mdファイルのようなセキュリティポリシーは、現在オープンソースプロジェクトで一般的である。
本研究では,PyPIプロジェクトにおけるセキュリティポリシと依存性管理の関係について検討する。
- 参考スコア(独自算出の注目度): 3.202418533433693
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Security policies, such as SECURITY.md files, are now common in open-source projects. They help guide responsible vulnerability reporting and build trust among users and contributors. Despite their growing use, it is still unclear how these policies influence the structure and evolution of software dependencies. Software dependencies are external packages or libraries that a project relies on, and their interconnected nature affects both functionality and security. This study explores the relationship between security policies and dependency management in PyPI projects. We analyzed projects with and without a SECURITY.md file by examining their dependency trees and tracking how dependencies change over time. The analysis shows that projects with a security policy tend to rely on a broader set of direct dependencies, while overall depth and transitive dependencies remain similar. Historically, projects created after the introduction of SECURITY.md, particularly later adopters, show more frequent dependency updates. These results suggest that security policies are linked to more modular and feature-rich projects, and highlight the role of SECURITY.md in promoting proactive dependency management and reducing risks in the software supply chain.
- Abstract(参考訳): SECURITY.mdファイルのようなセキュリティポリシーは、現在オープンソースプロジェクトで一般的である。
責任ある脆弱性の報告とユーザとコントリビュータ間の信頼構築を支援する。
利用が増えているにもかかわらず、これらのポリシーがソフトウェア依存関係の構造と進化にどのように影響するかは、まだ不明である。
ソフトウェア依存関係は、プロジェクトが依存する外部パッケージまたはライブラリであり、それらの相互接続性は機能とセキュリティの両方に影響を与える。
本研究では,PyPIプロジェクトにおけるセキュリティポリシと依存性管理の関係について検討する。
依存関係ツリーを調べ、時間とともに依存関係がどのように変化するかを追跡することで、SECURITY.mdファイルでプロジェクトを分析しました。
この分析によると、セキュリティポリシーを持つプロジェクトは、全体的な深さと推移的な依存関係が相変わらず、より広範な直接的な依存関係に依存する傾向にある。
歴史的に、SECURITY.mdの導入後に作成されたプロジェクト、特に後続のアダプタは、より頻繁な依存性更新を示している。
これらの結果は、セキュリティポリシーがよりモジュール的で機能豊富なプロジェクトと結びついており、プロアクティブな依存性管理を促進し、ソフトウェアサプライチェーンのリスクを低減する上でのSECURITY.mdの役割を強調していることを示唆している。
関連論文リスト
- Why Authors and Maintainers Link (or Don't Link) Their PyPI Libraries to Code Repositories and Donation Platforms [83.16077040470975]
Python Package Index(PyPI)上のライブラリのメタデータは、オープンソースライブラリの透明性、信頼性、持続性をサポートする上で重要な役割を果たす。
本稿は,5万PyPIの著者とメンテナに送付された2つの対象調査を組み合わせた大規模実証研究である。
我々は,大規模言語モデル(LLM)に基づくトピックモデリングを用いて1,400以上の応答を分析し,リポジトリと寄付プラットフォームのリンクに関連する重要なモチベーションと障壁を明らかにする。
論文 参考訳(メタデータ) (2026-01-21T16:13:57Z) - Analyzing the Availability of E-Mail Addresses for PyPI Libraries [89.21869606965578]
81.6%のライブラリには、少なくとも1つの有効な電子メールアドレスが含まれており、PyPIが主要なソースとなっている。
698,000以上の無効なエントリを識別します。
論文 参考訳(メタデータ) (2026-01-20T14:54:58Z) - A Comprehensive Study on the Impact of Vulnerable Dependencies on Open-Source Software [0.2772895608190934]
我々は、Java、Python、Rust、Go、Ruby、JavaScriptといった複数の言語からなる約50万のリリースで、1万以上のオープンソースプロジェクトについて調査を行った。
私たちの目標は、これらの脆弱性の深刻さ、永続性、分散性、およびチームやコントリビュータのサイズ、アクティビティ、リリースサイクルといったプロジェクトメトリクスとの相関性を調べることです。
このアプローチを使うことで、ライブラリのバージョンや依存性の深さ、既知の脆弱性、そしてソフトウェア開発サイクルを通じてどのように進化したかといった情報を提供できるのです。
論文 参考訳(メタデータ) (2025-12-03T15:20:10Z) - Out of Sight, Still at Risk: The Lifecycle of Transitive Vulnerabilities in Maven [0.3670008893193884]
間接的な依存関係から生じる過渡的脆弱性は、共通脆弱性や露出に関連するリスクにプロジェクトを公開します。
我々は、CVE導入後のプロジェクトの露出時間を測定するためにサバイバル分析を採用している。
Mavenプロジェクトの大規模なデータセットを使用して、これらの脆弱性の解決に影響を及ぼす要因を特定します。
論文 参考訳(メタデータ) (2025-04-07T07:54:15Z) - Insights into Dependency Maintenance Trends in the Maven Ecosystem [0.14999444543328289]
Goblinフレームワークを用いてNeo4jデータセットの定量的解析を行う。
私たちの分析によると、依存関係が少ないリリースでは、より多くのリリースが欠落していることがわかった。
本研究は,最新リリースの依存関係には肯定的な新鮮度スコアがあり,ソフトウェア管理の有効性が向上していることを示す。
論文 参考訳(メタデータ) (2025-03-28T22:20:24Z) - Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。
セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。
我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
論文 参考訳(メタデータ) (2025-02-10T16:50:48Z) - An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。
このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
論文 参考訳(メタデータ) (2024-09-27T16:20:20Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - What's in a Package? Getting Visibility Into Dependencies Using Security-Sensitive API Calls [3.6525326603691504]
本稿では,エコシステムのためのセキュリティに敏感なAPIリストを構築するための新しい手法を提案する。
次に、機能的に類似したパッケージグループにおけるセキュリティに敏感なAPIの頻度を比較します。
開発者の半数以上が、もし利用可能であれば、依存関係の選択プロセスでセキュリティに敏感なAPI情報を使用するだろう。
論文 参考訳(メタデータ) (2024-08-05T22:01:18Z) - Dependency Practices for Vulnerability Mitigation [4.710141711181836]
npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
論文 参考訳(メタデータ) (2023-10-11T19:48:46Z) - Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。