論文の概要: Package Dashboard: A Cross-Ecosystem Framework for Dual-Perspective Analysis of Software Packages
- arxiv url: http://arxiv.org/abs/2512.01630v1
- Date: Mon, 01 Dec 2025 12:52:03 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-02 19:46:34.853902
- Title: Package Dashboard: A Cross-Ecosystem Framework for Dual-Perspective Analysis of Software Packages
- Title(参考訳): Package Dashboard: ソフトウェアパッケージのデュアルパースペクティブ分析のためのクロスエコシステムフレームワーク
- Authors: Ziheng Liu, Runzhi He, Minghui Zhou,
- Abstract要約: Package Dashboardは、サプライチェーン分析のための統一プラットフォームを提供する、クロスエコシステムフレームワークである。
依存関係の解決とリポジトリ分析を組み合わせることで、認知負荷を低減し、トレーサビリティを向上させる。
- 参考スコア(独自算出の注目度): 10.345664674440139
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Software supply chain attacks have revealed blind spots in existing SCA tools, which are often limited to a single ecosystem and assess either software artifacts or community activity in isolation. This fragmentation across tools and ecosystems forces developers to manually reconcile scattered data, undermining risk assessments. We present Package Dashboard, a cross-ecosystem framework that provides a unified platform for supply chain analysis, enabling a holistic, dual-perspective risk assessment by integrating package metadata, vulnerability information, and upstream community health metrics. By combining dependency resolution with repository analysis, it reduces cognitive load and improves traceability. Demonstrating the framework's versatility, a large-scale study of 374,000 packages across five Linux distributions shows its ability to uncover not only conventional vulnerabilities and license conflicts but also overlooked risks such as archived or inaccessible repositories. Ultimately, Package Dashboard provides a unified view of risk, equipping developers and DevSecOps engineers with actionable insights to strengthen the transparency, trustworthiness, and traceability of open-source ecosystems. Package Dashboard is publicly available at https://github.com/n19htfall/PackageDashboard, and a demonstration video can be found at https://youtu.be/y9ncftP8KPQ. Besides, the online version is available at https://pkgdash.osslab-pku.org.
- Abstract(参考訳): ソフトウェアサプライチェーン攻撃は、既存のSCAツールの盲点を明らかにしており、それらは単一のエコシステムに限定され、ソフトウェアアーティファクトまたはコミュニティアクティビティを独立して評価することが多い。
このツールとエコシステムの断片化によって、開発者は散在するデータを手作業で調整し、リスク評価を損なうことになる。
本稿では,サプライチェーン分析のための統一プラットフォームを提供するクロスエコシステムフレームワークであるPackage Dashboardについて紹介する。パッケージメタデータ,脆弱性情報,上流コミュニティの健康指標を統合することで,総合的かつ双対的なリスク評価を可能にする。
依存関係の解決とリポジトリ分析を組み合わせることで、認知負荷を低減し、トレーサビリティを向上させる。
フレームワークの汎用性を実証する5つのLinuxディストリビューションにわたる374,000パッケージの大規模な調査は、従来の脆弱性やライセンスの競合だけでなく、アーカイブされたリポジトリやアクセス不能なリポジトリなど、見落とされたリスクを明らかにする能力を示している。
最終的に、Package Dashboardはリスクの統一的なビューを提供し、開発者とDevSecOpsエンジニアに、オープンソースのエコシステムの透明性、信頼性、トレーサビリティを強化するための実用的な洞察を与える。
Package Dashboardはhttps://github.com/n19htfall/PackageDashboardで公開されている。
オンライン版はhttps://pkgdash.osslab-pku.orgで公開されている。
関連論文リスト
- UniBOM -- A Unified SBOM Analysis and Visualisation Tool for IoT Systems and Beyond [0.23332469289621785]
本稿では,UniBOMについて紹介する。UniBOMは,材料生成・分析・可視化のための高度なツールである。
UniBOMはバイナリ、脆弱性、ソースコード解析を統合し、きめ細かい脆弱性検出とリスク管理を可能にする。
主な機能としては、履歴追跡、重大度によるAIベースの分類、メモリ安全性、非パッケージ管理のC/C++依存関係のサポートなどがある。
論文 参考訳(メタデータ) (2025-11-27T11:50:58Z) - An LLM-based Quantitative Framework for Evaluating High-Stealthy Backdoor Risks in OSS Supply Chains [16.099037403682594]
オープンソースのソフトウェアサプライチェーンは、効率的で便利なエンジニアリングプラクティスに貢献しています。
基盤となる依存関係のメンテナンスの欠如とコミュニティ監査の不十分は、ソースコードのセキュリティを確保する上での課題を生み出します。
オープンソースソフトウェアにおけるバックドアリスク評価のためのきめ細かいプロジェクト評価フレームワークを提案する。
論文 参考訳(メタデータ) (2025-11-17T13:10:36Z) - Integrated Simulation Framework for Adversarial Attacks on Autonomous Vehicles [42.02003282828958]
本稿では,AVの知覚層と通信層の両方を対象とする敵攻撃を生成するための,新たなオープンソース統合シミュレーションフレームワークを提案する。
我々の実装は、V2Xメッセージ操作やGPSスプーフィングといった通信レベルの脅威と共に、LiDARセンサデータに対する多様な認識レベル攻撃をサポートしている。
本研究では, 現状の3Dオブジェクト検出器に対する, 生成した逆方向シナリオの影響を評価することで, フレームワークの有効性を実証する。
論文 参考訳(メタデータ) (2025-08-31T20:53:08Z) - Substation Bill of Materials: A Novel Approach to Managing Supply Chain Cyber-risks on IEC 61850 Digital Substations [44.99833362998488]
Substation Bill of Materials (Subs-BOM) は、DS内のすべてのIEDとそれらの関係をサイバーセキュリティの観点からモデル化することができる。
Subs-BOMは、デバイス、実行中のファームウェア、DSにデプロイされるサービスを正確かつ完全なインベントリとして、エネルギーユーティリティを提供する。
論文 参考訳(メタデータ) (2025-03-25T13:28:36Z) - Tracking Down Software Cluster Bombs: A Current State Analysis of the Free/Libre and Open Source Software (FLOSS) Ecosystem [0.43981305860983705]
本稿では,FLOSSパッケージリポジトリの現状について概説する。
ソフトウェアエコシステム内の問題領域を特定するという課題に対処する。
その結果,FLOSSエコシステム内には保守性の高いプロジェクトが存在する一方で,サプライチェーンアタックの影響を受けやすいプロジェクトも存在していることが示唆された。
論文 参考訳(メタデータ) (2025-02-12T08:57:57Z) - A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。
この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。
本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
論文 参考訳(メタデータ) (2024-12-06T18:49:06Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - SPOQchain: Platform for Secure, Scalable, and Privacy-Preserving Supply Chain Tracing and Counterfeit Protection [46.68279506084277]
この研究は、包括的なトレーサビリティと独創性検証を提供する、ブロックチェーンベースの新しいプラットフォームであるSPOQchainを提案する。
プライバシとセキュリティの側面を分析し、サプライチェーンのトレーシングの将来に対するSPOQチェーンの必要性と資格を実証する。
論文 参考訳(メタデータ) (2024-08-30T07:15:43Z) - Enhancing Supply Chain Visibility with Knowledge Graphs and Large Language Models [49.898152180805454]
本稿では,サプライチェーンの可視性を高めるために,知識グラフ(KG)と大規模言語モデル(LLM)を活用した新しいフレームワークを提案する。
我々のゼロショットLPM駆動アプローチは、様々な公共情報源からのサプライチェーン情報の抽出を自動化する。
NERとREタスクの精度が高く、複雑な多層供給ネットワークを理解する効果的なツールを提供する。
論文 参考訳(メタデータ) (2024-08-05T17:11:29Z) - A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems [13.610690659041417]
悪意のあるパッケージはメタデータの内容が少なく、正規のパッケージよりも静的関数や動的関数が少ない。
きめ細かい情報(FGI)の1次元は、悪意のあるパッケージを検出するのに十分な識別能力を持っている。
論文 参考訳(メタデータ) (2024-04-17T15:16:01Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。