論文の概要: How Deep Does Your Dependency Tree Go? An Empirical Study of Dependency Amplification Across 10 Package Ecosystems

• arxiv url: http://arxiv.org/abs/2512.14739v1
• Date: Fri, 12 Dec 2025 05:53:32 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-18 17:06:26.704927
• Title: How Deep Does Your Dependency Tree Go? An Empirical Study of Dependency Amplification Across 10 Package Ecosystems
• Title（参考訳）: 依存関係ツリーはどの程度の深さで動くのか?10のパッケージエコシステムにおける依存性の増幅に関する実証的研究
• Authors: Jahidul Arafat,
• Abstract要約: Maven、npm Registry、RubyGems、Go Modules、PyPI、CocoaPods、Pubを含む10の主要なエコシステムにわたる500のプロジェクトを調査します。 我々は45対比較のうち22対において大きな効果サイズに有意な差が見られ、npmが最も増幅率が高いという仮定に挑戦する。 この結果から,Maven環境のシステマティック監査,npmおよびRubyGemsのアウトレイラ検出,制御増幅によるエコシステムの現在のプラクティスの継続など,エコシステム固有のセキュリティ戦略の採用が示唆された。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Modern software development relies on package ecosystems where a single declared dependency can pull in many additional transitive packages. This dependency amplification, defined as the ratio of transitive to direct dependencies, has major implications for software supply chain security, yet amplification patterns across ecosystems have not been compared at scale. We present an empirical study of 500 projects across ten major ecosystems, including Maven Central for Java, npm Registry for JavaScript, crates io for Rust, PyPI for Python, NuGet Gallery for dot NET, RubyGems for Ruby, Go Modules for Go, Packagist for PHP, CocoaPods for Swift and Objective C, and Pub for Dart. Our analysis shows that Maven exhibits mean amplification of 24.70 times, compared to 4.48 times for Go Modules, 4.32 times for npm, and 0.32 times for CocoaPods. We find significant differences with large effect sizes in 22 of 45 pairwise comparisons, challenging the assumption that npm has the highest amplification due to its many small purpose packages. We observe that 28 percent of Maven projects exceed 10 times amplification, indicating a systematic pattern rather than isolated outliers, compared to 14 percent for RubyGems, 12 percent for npm, and zero percent for Cargo, PyPI, Packagist, CocoaPods, and Pub. We attribute these differences to ecosystem design choices such as dependency resolution behavior, standard library completeness, and platform constraints. Our findings suggest adopting ecosystem specific security strategies, including systematic auditing for Maven environments, targeted outlier detection for npm and RubyGems, and continuation of current practices for ecosystems with controlled amplification. We provide a full replication package with data and analysis scripts.
• Abstract（参考訳）: 現代のソフトウェア開発は、単一の宣言された依存関係が追加のトランジティブパッケージを引き出すことができるパッケージエコシステムに依存している。 この依存性の増幅は、推移的な依存関係と直接的な依存関係の比率として定義されており、ソフトウェアサプライチェーンのセキュリティに大きな影響を及ぼすが、エコシステム全体での増幅パターンは大規模に比較されていない。 Maven Central for Java, npm Registry for JavaScript, crates io for Rust, PyPI for Python, NuGet Gallery for dot NET, RubyGems for Ruby, Go Modules for Go, Packagist for PHP, CocoaPods for Swift and Objective C, Pub for Dartなど,10のエコシステムにわたる500プロジェクトに関する実証的研究を行った。 分析の結果,Goモジュールでは4.48回,npmでは4.32回,CocoaPodでは0.32回であった。 我々は,45対比較中22対において,大きな効果サイズに有意な差がみられ,npmは小目的パッケージが多いため,最も増幅度が高いという仮定に挑戦した。 RubyGemsは14%、npmは12%、Cargo、PyPI、Packagist、CocoaPods、Pubは0パーセントである。 これらの違いは、依存性解決の動作、標準ライブラリの完全性、プラットフォームの制約など、エコシステム設計の選択に起因しています。 この結果から,Maven環境のシステマティック監査,npmおよびRubyGemsのアウトレイラ検出,制御増幅によるエコシステムの現在のプラクティスの継続など,エコシステム固有のセキュリティ戦略の採用が示唆された。 データと分析スクリプトを備えた完全なレプリケーションパッケージを提供する。

関連論文リスト

• PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python [1.2644387713029346]
  本稿では、PyPIエコシステム全体にわたる脆弱な依存関係の定量的解析であるPyPitfallを紹介する。 我々は,378,573個のPyPIパッケージの依存関係構造を分析し,少なくとも1つの既知の拡張可能なバージョンを必要とする4,655個のパッケージを特定した。 我々は,Pythonソフトウェアサプライチェーンのセキュリティに対する認識を高めることを目的としている。
  論文  参考訳（メタデータ） (2025-07-24T03:58:18Z)
• EnvBench: A Benchmark for Automated Environment Setup [76.02998475135824]
  大規模言語モデルにより、研究者はソフトウェア工学領域における実用的なリポジトリレベルのタスクに集中できるようになった。 環境設定に関する既存の研究は革新的なエージェント戦略を導入しているが、その評価は小さなデータセットに基づいていることが多い。 このギャップに対処するため、包括的環境設定ベンチマークEnvBenchを紹介します。
  論文  参考訳（メタデータ） (2025-03-18T17:19:12Z)
• PyPulse: A Python Library for Biosignal Imputation [58.35269251730328]
  PyPulseは,臨床およびウェアラブルの両方のセンサ設定において生体信号の計算を行うPythonパッケージである。 PyPulseのフレームワークは、非機械学習バイオリサーバーを含む幅広いユーザーベースに対して、使い勝手の良いモジュラーで拡張可能なフレームワークを提供する。 PyPulseはMITライセンスでGithubとPyPIでリリースしました。
  論文  参考訳（メタデータ） (2024-12-09T11:00:55Z)
• The Stackage Repository: An Exploratory Study of its Evolution [0.0]
  本稿では,モナドパッケージを考慮したスタックジュの進化に関する実証的研究を行う。 私たちの知る限りでは、これはStackageリポジトリのパッケージとモナドに関する進化の大規模な分析としては初めてのものです。
  論文  参考訳（メタデータ） (2023-10-16T23:42:47Z)
• On the Feasibility of Cross-Language Detection of Malicious Packages in npm and PyPI [6.935278888313423]
  悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。 最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。 言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-10-14T12:32:51Z)
• Analysis of Library Dependency Networks of Package Managers Used in iOS Development [3.46067608522128]
  Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Manager(PM)のライブラリを含んでいる。 CocoaPodsは、最大のライブラリセットを持つパッケージマネージャであるが、他のパッケージマネージャとの違いは、期待ほど大きくはない。 Swift PMはますます人気を集めており、結果として他の2つのパッケージマネージャの成長が徐々に鈍化している。
  論文  参考訳（メタデータ） (2023-05-18T12:14:19Z)
• DADApy: Distance-based Analysis of DAta-manifolds in Python [51.37841707191944]
  DADApyは、高次元データの分析と特徴付けのためのピソンソフトウェアパッケージである。 固有次元と確率密度を推定し、密度に基づくクラスタリングを行い、異なる距離メトリクスを比較する方法を提供する。
  論文  参考訳（メタデータ） (2022-05-04T08:41:59Z)
• PyHHMM: A Python Library for Heterogeneous Hidden Markov Models [63.01207205641885]
  PyHHMM は Heterogeneous-Hidden Markov Models (HHMM) のオブジェクト指向Python実装である。 PyHHMMは、異種観測モデル、データ推論の欠如、異なるモデルの順序選択基準、半教師付きトレーニングなど、同様のフレームワークではサポートされない機能を強調している。 PyHHMMは、numpy、scipy、scikit-learn、およびシーボーンPythonパッケージに依存しており、Apache-2.0ライセンスの下で配布されている。
  論文  参考訳（メタデータ） (2022-01-12T07:32:36Z)
• Scikit-dimension: a Python package for intrinsic dimension estimation [58.8599521537]
  この技術ノートは、固有次元推定のためのオープンソースのPythonパッケージであるtextttscikit-dimensionを紹介している。 textttscikit-dimensionパッケージは、Scikit-learnアプリケーションプログラミングインターフェイスに基づいて、既知のID推定子のほとんどを均一に実装する。 パッケージを簡潔に記述し、実生活と合成データにおけるID推定手法の大規模(500以上のデータセット)ベンチマークでその使用を実証する。
  論文  参考訳（メタデータ） (2021-09-06T16:46:38Z)
• pyBART: Evidence-based Syntactic Transformations for IE [52.93947844555369]
  pyBARTは、英語のUD木を拡張UDグラフに変換するためのオープンソースのPythonライブラリである。 パターンに基づく関係抽出のシナリオで評価すると、より少ないパターンを必要としながら、より高精細なUDよりも高い抽出スコアが得られる。
  論文  参考訳（メタデータ） (2020-05-04T07:38:34Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。