論文の概要: Understanding npm Developers' Practices, Challenges, and Recommendations for Secure Package Development

• arxiv url: http://arxiv.org/abs/2601.20240v1
• Date: Wed, 28 Jan 2026 04:26:16 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-29 15:46:06.767143
• Title: Understanding npm Developers' Practices, Challenges, and Recommendations for Secure Package Development
• Title（参考訳）: セキュアパッケージ開発のためのnpm開発者の実践、課題、勧告を理解する
• Authors: Anthony Peruma, Truman Choy, Gerald Lee, Italo De Oliveira Santos,
• Abstract要約: 本研究では,npmパッケージ開発者の作業におけるセキュリティに対する認識と対処方法を検討する。 我々は,セキュリティリスクに対する開発者の理解,使用するプラクティスとツール,より強力なセキュリティ対策の障壁,npmエコシステムのセキュリティを改善するための提案について検討した。
• 参考スコア（独自算出の注目度）: 1.005962747372551
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Background: The Node Package Manager (npm) ecosystem plays a vital role in modern software development by providing a vast repository of packages and tools that developers can use to implement their software systems. However, recent vulnerabilities in third-party packages have led to serious security breaches, compromising the integrity of applications that depend on them. Objective: This study investigates how npm package developers perceive and handle security in their work. We examined developers' understanding of security risks, the practices and tools they use, the barriers to stronger security measures, and their suggestions for improving the npm ecosystem's security. Method: We conducted an online survey with 75 npm package developers and undertook a mixed-methods approach to analyzing their responses. Results: While developers prioritize security, they perceive their packages as only moderately secure, with concerns about supply chain attacks, dependency vulnerabilities, and malicious code. Only 40% are satisfied with the current npm security tools due to issues such as alert fatigue. Automated methods such as two-factor authentication and npm audit are favored over code reviews. Many drop dependencies due to abandonment or vulnerabilities, and typically respond to vulnerabilities in their packages by quickly releasing patches. Key barriers include time constraints and high false-positive rates. To improve npm security, developers seek better detection tools, clearer documentation, stronger account protections, and more education initiatives. Conclusion: Our findings will benefit npm package contributors and maintainers by highlighting prevalent security challenges and promoting discussions on best practices to strengthen security and trustworthiness within the npm landscape.
• Abstract（参考訳）: 背景: Node Package Manager(npm)エコシステムは、開発者がソフトウェアシステムを実装するのに使える膨大なパッケージとツールのリポジトリを提供することによって、現代のソフトウェア開発において重要な役割を果たす。 しかし、最近のサードパーティパッケージの脆弱性は深刻なセキュリティ侵害を引き起こし、それらに依存するアプリケーションの整合性を損なう。 Objective: この調査は,npmパッケージ開発者が自身の作業においてセキュリティをどのように認識し,処理するかを調査する。 我々は,セキュリティリスクに対する開発者の理解,使用するプラクティスとツール,より強力なセキュリティ対策の障壁,npmエコシステムのセキュリティを改善するための提案について検討した。 方法:75npmパッケージ開発者を対象にオンライン調査を行い,反応分析のための混合メソッドアプローチを行った。 結果: 開発者はセキュリティを優先する一方で、サプライチェーンの攻撃、依存性の脆弱性、悪意のあるコードに関する懸念から、パッケージを適度にセキュアであると認識している。 アラート疲労などの問題により,現在のnpmセキュリティツールに満足しているのは40%に過ぎない。 2要素認証やnpm監査などの自動手法はコードレビューよりも好まれる。 たいていの場合、パッチを素早くリリースすることで、パッケージ内の脆弱性に応答する。 鍵となる障壁は、時間制約と高い偽陽性率である。 npmセキュリティを改善するために、開発者はより良い検出ツール、より明確なドキュメント、より強力なアカウント保護、さらに多くの教育イニシアチブを求めている。 結論: npmパッケージのコントリビュータやメンテナには,一般的なセキュリティ課題の強調と,npmの状況におけるセキュリティと信頼性向上のためのベストプラクティスに関する議論の促進によるメリットがあります。

関連論文リスト

• Indirect Prompt Injections: Are Firewalls All You Need, or Stronger Benchmarks? [58.48689960350828]
  エージェントインタフェースにおけるシンプルでモジュール的で,モデルに依存しないディフェンスが,高ユーティリティで完全なセキュリティを実現することを示す。 ツール入力ファイアウォール(最小限のファイアウォール)とツール出力ファイアウォール(サニタイザ)の2つのファイアウォールをベースとしたディフェンスを採用している。
  論文  参考訳（メタデータ） (2025-10-06T18:09:02Z)
• Secure Tug-of-War (SecTOW): Iterative Defense-Attack Training with Reinforcement Learning for Multimodal Model Security [63.41350337821108]
  マルチモーダル大規模言語モデル(MLLM)のセキュリティを高めるために,Secure Tug-of-War(SecTOW)を提案する。 SecTOWは2つのモジュールで構成される:ディフェンダーと補助攻撃者。どちらも強化学習(GRPO)を使用して反復的に訓練される。 SecTOWは、一般的な性能を維持しながら、セキュリティを大幅に改善することを示す。
  論文  参考訳（メタデータ） (2025-07-29T17:39:48Z)
• Defending Against Prompt Injection With a Few DefensiveTokens [44.221727642687085]
  大規模言語モデル(LLM)システムは複雑なタスクを実行するために外部データと相互作用する。 システムによってアクセスされたデータに命令を注入することにより、攻撃者は攻撃者が指示する任意のタスクで初期ユーザタスクをオーバーライドすることができる。 システム開発者がフレキシブルな方法で必要な場合にのみセキュリティを確保するためには、例えば防御プロンプトのようなテストタイムディフェンスが提案されている。 トレーニング時の代替に匹敵するプロンプトインジェクションを備えたテストタイムディフェンスであるDefensiveTokenを提案する。
  論文  参考訳（メタデータ） (2025-07-10T17:51:05Z)
• OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
  OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。 従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。 ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
  論文  参考訳（メタデータ） (2025-07-08T16:18:54Z)
• "I wasn't sure if this is indeed a security risk": Data-driven Understanding of Security Issue Reporting in GitHub Repositories of Open Source npm Packages [8.360992461585308]
  この研究は、GitHubリポジトリ全体で報告された10,907,467件のnpmパッケージを収集した。 これらの問題に関連するタグは、セキュリティ関連の問題に0.13%しか存在しないことを示している。 手動解析のアプローチに続いて、高精度な機械学習モデルを構築し、セキュリティ関連の問題としてタグ付けされていない1,617,738件を特定した。
  論文  参考訳（メタデータ） (2025-06-09T13:11:35Z)
• LLM Agents Should Employ Security Principles [60.03651084139836]
  本稿では,大規模言語モデル(LLM)エージェントを大規模に展開する際には,情報セキュリティの確立した設計原則を採用するべきであることを論じる。 AgentSandboxは、エージェントのライフサイクル全体を通して保護を提供するために、これらのセキュリティ原則を組み込んだ概念的なフレームワークである。
  論文  参考訳（メタデータ） (2025-05-29T21:39:08Z)
• Assumptions to Evidence: Evaluating Security Practices Adoption and Their Impact on Outcomes in the npm Ecosystem [5.250288418639076]
  本研究の目的は、実践者や政策立案者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。 セキュリティプラクティスの採用状況と,145K npmパッケージのセキュリティ結果指標への影響を分析した。 以上の結果から,総合的なセキュリティプラクティスの採用には5.2の脆弱性,216.8日のMTTR,52.3日のMTTUが関与していることがわかった。
  論文  参考訳（メタデータ） (2025-04-18T18:31:31Z)
• Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
  本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。 敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。 GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
  論文  参考訳（メタデータ） (2025-03-30T13:26:00Z)
• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
  現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。 この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。 本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
  論文  参考訳（メタデータ） (2024-12-06T18:49:06Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。