論文の概要: A Comprehensive Study on the Impact of Vulnerable Dependencies on Open-Source Software

• arxiv url: http://arxiv.org/abs/2512.03868v1
• Date: Wed, 03 Dec 2025 15:20:10 GMT
• ステータス: 情報取得中
• システム内更新日: 2025-12-04 12:13:22.284425
• Title: A Comprehensive Study on the Impact of Vulnerable Dependencies on Open-Source Software
• Title（参考訳）: オープンソースソフトウェアにおける脆弱性依存の影響に関する総合的研究
• Authors: Shree Hari Bittugondanahalli Indra Kumar, Lilia Rodrigues Sampaio, André Martin, Andrey Brito, Christof Fetzer,
• Abstract要約: 我々は、Java、Python、Rust、Go、Ruby、JavaScriptといった複数の言語からなる約50万のリリースで、1万以上のオープンソースプロジェクトについて調査を行った。 私たちの目標は、これらの脆弱性の深刻さ、永続性、分散性、およびチームやコントリビュータのサイズ、アクティビティ、リリースサイクルといったプロジェクトメトリクスとの相関性を調べることです。 このアプローチを使うことで、ライブラリのバージョンや依存性の深さ、既知の脆弱性、そしてソフトウェア開発サイクルを通じてどのように進化したかといった情報を提供できるのです。
• 参考スコア（独自算出の注目度）: 0.2772895608190934
• License:
• Abstract: Open-source libraries are widely used by software developers to speed up the development of products, however, they can introduce security vulnerabilities, leading to incidents like Log4Shell. With the expanding usage of open-source libraries, it becomes even more imperative to comprehend and address these dependency vulnerabilities. The use of Software Composition Analysis (SCA) tools does greatly help here as they provide a deep insight on what dependencies are used in a project, enhancing the security and integrity in the software supply chain. In order to learn how wide spread vulnerabilities are and how quickly they are being fixed, we conducted a study on over 1k open-source software projects with about 50k releases comprising several languages such as Java, Python, Rust, Go, Ruby, PHP, and JavaScript. Our objective is to investigate the severity, persistence, and distribution of these vulnerabilities, as well as their correlation with project metrics such as team and contributors size, activity and release cycles. In order to perform such analysis, we crawled over 1k projects from github including their version history ranging from 2013 to 2023 using VODA, our SCA tool. Using our approach, we can provide information such as library versions, dependency depth, and known vulnerabilities, and how they evolved over the software development cycle. Being larger and more diverse than datasets used in earlier works and studies, ours provides better insights and generalizability of the gained results. The data collected answers several research questions about the dependency depth and the average time a vulnerability persists. Among other findings, we observed that for most programming languages, vulnerable dependencies are transitive, and a critical vulnerability persists in average for over a year before being fixed.
• Abstract（参考訳）: オープンソースライブラリは、ソフトウェア開発者によって製品開発をスピードアップするために広く使用されているが、セキュリティ上の脆弱性を導入し、Log4Shellのようなインシデントにつながる可能性がある。 オープンソースライブラリの利用が拡大するにつれ、これらの依存関係の脆弱性を理解し、対処することがますます重要になる。 ソフトウェア構成分析(SCA)ツールの使用は、ソフトウェアサプライチェーンのセキュリティと整合性を高めるために、プロジェクトでどのような依存関係が使われているのか、深い洞察を提供するのに役立ちます。 脆弱性の広がりと修正の迅速さを知るため、私たちは、Java、Python、Rust、Go、Ruby、PHP、JavaScriptといった複数の言語からなる約50万のリリースで、1万以上のオープンソースプロジェクトを調査しました。 私たちの目標は、これらの脆弱性の深刻さ、永続性、分散性、およびチームやコントリビュータのサイズ、アクティビティ、リリースサイクルといったプロジェクトメトリクスとの相関性を調べることです。 このような分析を行うために、当社のSCAツールVODAを使用して、2013年から2023年までのバージョン履歴を含む1万以上のプロジェクトをgithubからクロールしました。 このアプローチを使うことで、ライブラリのバージョンや依存性の深さ、既知の脆弱性、そしてソフトウェア開発サイクルを通じてどのように進化したかといった情報を提供できるのです。 以前の研究や研究で使われたデータセットよりも大きく、多様であるため、私たちの研究は、得られた結果のより良い洞察と一般化性を提供します。 収集されたデータは、依存関係の深さと、脆弱性が持続する平均時間に関するいくつかの研究質問に答える。 多くのプログラミング言語では、脆弱性のある依存関係は推移的であり、致命的な脆弱性は修正されるまで1年以上平均的に持続する。

関連論文リスト

• Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
  オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。 1,756の脆弱性のあるオープンソースプロジェクトを特定しました。 当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
  論文  参考訳（メタデータ） (2025-05-26T16:29:21Z)
• Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
  デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。 本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。 私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
  論文  参考訳（メタデータ） (2025-04-24T12:06:11Z)
• The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
  私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。 約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。 また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
  論文  参考訳（メタデータ） (2025-04-05T13:45:27Z)
• Forecasting the risk of software choices: A model to foretell security vulnerabilities from library dependencies and source code evolution [4.538870924201896]
  図書館レベルでの脆弱性予測が可能なモデルを提案する。 我々のモデルは、将来の時間帯でソフトウェアプロジェクトがCVEの開示に直面する確率を推定することができる。
  論文  参考訳（メタデータ） (2024-11-17T23:36:27Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
  具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。 各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。 我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
  論文  参考訳（メタデータ） (2024-06-12T23:04:13Z)
• Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。