論文の概要: Insecure Ingredients? Exploring Dependency Update Patterns of Bundled JavaScript Packages on the Web
- arxiv url: http://arxiv.org/abs/2512.15447v1
- Date: Wed, 17 Dec 2025 13:43:32 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-18 17:06:27.013237
- Title: Insecure Ingredients? Exploring Dependency Update Patterns of Bundled JavaScript Packages on the Web
- Title(参考訳): セキュアな脆弱性? バンドルされたJavaScriptパッケージの依存性更新パターンをWeb上で探究する
- Authors: Ben Swierzy, Marc Ohm, Michael Meier,
- Abstract要約: Aletheiaは、パッケージのバージョンを特定するためにJavaScriptバンドルを識別するパッケージに依存しないメソッドである。
Trancoのトップ10万のドメインをクロールして、5%から20%のドメインが16週間以内に依存関係を更新していることを明らかにします。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Reusable software components, typically distributed as packages, are a central paradigm of modern software development. The JavaScript ecosystem serves as a prime example, offering millions of packages with their use being promoted as idiomatic. However, download statistics on npm raise security concerns as they indicate a high popularity of vulnerable package versions while their real prevalence on production websites remains unknown. Package version detection mechanisms fill this gap by extracting utilized packages and versions from observed artifacts on the web. Prior research focuses on mechanisms for either hand-selected popular packages in bundles or for single-file resources utilizing the global namespace. This does not allow for a thorough analysis of modern web applications' dependency update behavior at scale. In this work, we improve upon this by presenting Aletheia, a package-agnostic method which dissects JavaScript bundles to identify package versions through algorithms originating from the field of plagiarism detection. We show that this method clearly outperforms the existing approaches in practical settings. Furthermore, we crawl the Tranco top 100,000 domains to reveal that 5% - 20% of domains update their dependencies within 16 weeks. Surprisingly, from a longitudinal perspective, bundled packages are updated significantly faster than their CDN-included counterparts, with consequently up to 10 times fewer known vulnerable package versions included. Still, we observe indicators that few widespread vendors seem to be a major driving force behind timely updates, implying that quantitative measures are not painting a complete picture.
- Abstract(参考訳): 再利用可能なソフトウェアコンポーネント(一般的にパッケージとして配布される)は、現代のソフトウェア開発の中心的なパラダイムである。
JavaScriptエコシステムは主要な例として機能し、数百万のパッケージを提供し、その使用を慣用的に宣伝している。
しかし、npmのダウンロード統計は、脆弱性のあるパッケージバージョンの人気の高さを示す一方で、本番Webサイトにおける実際の人気が不明であることから、セキュリティ上の懸念を提起している。
パッケージバージョン検出メカニズムは、Web上で観察された成果物から利用済みのパッケージとバージョンを抽出することで、このギャップを埋める。
以前の研究では、バンドル内の手作業で選択された人気パッケージや、グローバルな名前空間を利用した単一ファイルリソースのメカニズムに焦点が当てられていた。
これにより、モダンなWebアプリケーションの依存性更新動作を大規模に分析することはできない。
AletheiaはJavaScriptバンドルを識別して,盗作検出の分野から派生したアルゴリズムを用いてパッケージのバージョンを識別するパッケージ非依存の手法である。
本研究では,本手法が既存の手法よりも実践的に優れていることを示す。
さらに、Trancoのトップ10万のドメインをクロールして、5%から20%のドメインが16週間以内に依存関係を更新していることを明らかにします。
驚いたことに、長期の観点から見ると、バンドルパッケージはCDNに含まれるパッケージよりも大幅に高速に更新される。
それでも、広範囲のベンダーがタイムリーなアップデートの背後にある大きな推進力であるように見えることは、量的措置が完全な絵を描いていないことを暗示している。
関連論文リスト
- Towards Classifying Benign And Malicious Packages Using Machine Learning [2.8630136355252582]
悪意のあるオープンソースパッケージ検出には、静的、動的解析、あるいはその両方が必要になる。
現在の動的解析ツールには、悪意のあるパッケージと良質なパッケージを区別する自動メソッドがない。
本稿では、動的解析(例えば、実行されたコマンド)から特徴を抽出し、機械学習技術を活用して、パッケージを自動的に良性または悪意として分類するアプローチを提案する。
論文 参考訳(メタデータ) (2025-11-19T01:59:11Z) - Towards Sustainable and Secure Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain [1.7577744940574058]
依存関係のサプライチェーンの終端にある責任を負う依存関係のないパッケージについて調査する。
NPMパッケージに最も依存しているものの最初の分析は、これらの重要な依存関係チェーンのかなりの部分を占めるチェーンのエンド・オブ・チェーン・パッケージであることを示している。
これらのパッケージは、持続的でセキュアなプラクティスで、依存性エコシステムの不確実なメリットを、戦略的再利用とバランスをとるための重要な教訓を明らかにしている、と私たちは主張する。
論文 参考訳(メタデータ) (2025-03-04T17:26:34Z) - PVAC: Package Version Activity Categorizer, Leveraging Semantic Versioning in a Heterogeneous System [0.0]
本研究の目的は、異種パッケージマネージャエコシステム内のバージョンアクティビティを評価するための体系的手法とプロトタイプツールの導入である。
3つのコンポーネントからなるパッケージバージョンアクティビティカテゴリ(PVAC)を開発した。
PVACは、さまざまなパッケージバージョン文字列からセマンティックバージョニングの詳細を解析し、一貫した分類とバージョン変更の定量的評価を可能にする。
論文 参考訳(メタデータ) (2024-09-06T19:58:20Z) - Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。
我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。
AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
論文 参考訳(メタデータ) (2024-06-18T17:32:48Z) - Alibaba LingmaAgent: Improving Automated Issue Resolution via Comprehensive Repository Exploration [64.19431011897515]
本稿では,問題解決のためにソフトウェアリポジトリ全体を包括的に理解し,活用するために設計された,新しいソフトウェアエンジニアリング手法であるAlibaba LingmaAgentを提案する。
提案手法では,重要なリポジトリ情報を知識グラフに凝縮し,複雑さを低減し,モンテカルロ木探索に基づく戦略を採用する。
Alibaba Cloudの製品展開と評価において、LingmaAgentは、開発エンジニアが直面した社内問題の16.9%を自動で解決し、手作業による介入で43.3%の問題を解決した。
論文 参考訳(メタデータ) (2024-06-03T15:20:06Z) - Malicious Package Detection using Metadata Information [0.272760415353533]
本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。
MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。
実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
論文 参考訳(メタデータ) (2024-02-12T06:54:57Z) - Wild-Time: A Benchmark of in-the-Wild Distribution Shift over Time [69.77704012415845]
時間的シフトは、現実世界にデプロイされた機械学習モデルのパフォーマンスを著しく低下させる可能性がある。
ドメイン一般化、連続学習、自己教師付き学習、アンサンブル学習の手法を含む13の先行手法をベンチマークする。
いずれの評価方略も,分布外データから分布外データへの平均的な性能低下を観察する。
論文 参考訳(メタデータ) (2022-11-25T17:07:53Z) - Deep learning for table detection and structure recognition: A survey [49.09628624903334]
本調査の目的は,テーブル検出の分野での大きな進展を深く理解することである。
この分野における古典的アプリケーションと新しいアプリケーションの両方について分析する。
既存のモデルのデータセットとソースコードは、読者にこの膨大な文献のコンパスを提供するために組織されている。
論文 参考訳(メタデータ) (2022-11-15T19:42:27Z) - Extending the WILDS Benchmark for Unsupervised Adaptation [186.90399201508953]
We present the WILDS 2.0 update, which extends 8 of the 10 datasets in the WILDS benchmark of distribution shifts to include curated unlabeled data。
これらのデータセットは、組織学から野生生物保護まで幅広い応用、タスク(分類、回帰、検出)、モダリティにまたがる。
ドメイン不変量や自己学習,自己管理など,ラベルのないデータを活用する最先端の手法を体系的にベンチマークする。
論文 参考訳(メタデータ) (2021-12-09T18:32:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。