Fugu-MT 論文翻訳(概要): On the Variability of Source Code in Maven Package Rebuilds

論文の概要: On the Variability of Source Code in Maven Package Rebuilds

arxiv url: http://arxiv.org/abs/2602.19383v1
Date: Sun, 22 Feb 2026 23:31:42 GMT
ステータス: 翻訳完了
システム内更新日: 2026-02-24 17:42:02.616971
Title: On the Variability of Source Code in Maven Package Rebuilds
Title（参考訳）: Mavenパッケージ再ビルドにおけるソースコードの多様性について
Authors: Jens Dietrich, Behnaz Hassanshahi,
Abstract要約: 85リリースを含む28の人気のあるパッケージの代替ビルドについて、等価でないソースについて検討する。主な原因はビルド時にコードを生成するビルドエクステンションであることに気付きました。
参考スコア（独自算出の注目度）: 0.7297857358723842
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Rebuilding packages from open source is a common practice to improve the security of software supply chains, and is now done at an industrial scale. The basic principle is to acquire the source code used to build a package published in a repository such as Maven Central (for Java), rebuild the package independently with hardened security, and publish it in some alternative repository. In this paper we test the assumption that the same source code is being used by those alternative builds. To study this, we compare the sources released with packages on Maven Central, with the sources associated with independently built packages from Google's Assured Open Source and Oracle's Build-from-Source projects. We study non-equivalent sources for alternative builds of 28 popular packages with 85 releases. We investigate the causes of non-equivalence, and find that the main cause is build extensions that generate code at build time, which are difficult to reproduce. We suggest strategies to address this issue.
Abstract（参考訳）: オープンソースからパッケージを再構築することは、ソフトウェアサプライチェーンのセキュリティを改善するための一般的なプラクティスであり、現在は産業規模で行われている。基本的な原則は、Maven Central(Java用)のようなリポジトリで公開されたパッケージを構築するのに使用されるソースコードを取得し、セキュリティを強化して独立してパッケージを再構築し、別のリポジトリに公開することです。本稿では,これらの代替ビルドで同じソースコードが使用されているという仮定をテストする。これを研究するため、Maven Centralでリリースされたソースと、GoogleのAssured Open SourceとOracleのBuild-from-Sourceプロジェクトの独立したビルドパッケージに関連するソースを比較した。 85リリースを含む28の人気のあるパッケージの代替ビルドについて、等価でないソースについて検討する。非等価性の原因を調査し、主な原因はビルド時にコードを生成する拡張で、再現が難しいことを発見した。我々はこの問題に対処する戦略を提案する。

関連論文リスト

Maven-Lockfile: High Integrity Rebuild of Past Java Releases [8.004632448033531]
MavenはJavaエコシステムにおいて最も重要なパッケージマネージャの1つです。 Maven-Lockfileを使ってロックファイルの生成と更新を行い、過去のバージョンからのプロジェクトの再構築をサポートしています。評価の結果、Maven-Lockfileは過去のコミットからビルドを再現でき、改ざんされたアーティファクトを検出できることがわかった。
論文参考訳（メタデータ） (2025-10-01T10:14:32Z)
Unlocking Reproducibility: Automating re-Build Process for Open-Source Software [0.06124773188525717]
Maven Centralのようなソフトウェアエコシステムは、現代のソフトウェアサプライチェーンにおいて重要な役割を果たす。上位1200の一般的なアーティファクトの約84%は、透過的なCI/CDパイプラインを使用して構築されていない。業界レベルのオープンソースサプライチェーンセキュリティフレームワークであるMavenを拡張して,Mavenアーティファクトのソースからの再構築を自動化する。
論文参考訳（メタデータ） (2025-09-10T00:23:08Z)
Causes and Canonicalization of Unreproducible Builds in Java [11.155099138622148]
再現可能なビルドの概念フレームワークを導入し,再現可能な中央からの大きなデータセットを分析し,再現不可能な6つの根本原因の新たな分類法を開発した。 12,803個の再現不可能なアーティファクトに対して26.60%のカノニゼーションを実現するツールであるChains-Rebuildを紹介する。
論文参考訳（メタデータ） (2025-04-30T14:17:54Z)
Local Software Buildability across Java Versions (Registered Report) [0.0]
Javaのバージョン6から23をインストールしたコンテナで、すべてのプロジェクトを自動ビルドしようとします。成功または失敗は終了コードによって決定され、標準出力とエラーストリームは保存される。
論文参考訳（メタデータ） (2024-08-21T11:51:00Z)
Analyzing the Accessibility of GitHub Repositories for PyPI and NPM Libraries [91.97201077607862]
産業アプリケーションはオープンソースソフトウェア(OSS)ライブラリに大きく依存しており、様々な利点を提供している。このようなコミュニティの活動を監視するには、エコシステムのライブラリの包括的なリポジトリのリストにアクセスしなければなりません。本研究では、PyPIライブラリとNPMライブラリのGitHubリポジトリのアクセシビリティを分析する。
論文参考訳（メタデータ） (2024-04-26T13:27:04Z)
On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文参考訳（メタデータ） (2023-06-08T20:14:46Z)
Code Librarian: A Software Package Recommendation System [65.05559087332347]
オープンソースライブラリ用のリコメンデーションエンジンであるLibrarianを提示する。 1)プログラムのインポートライブラリで頻繁に使用されること、2)プログラムのインポートライブラリと似た機能を持つこと、3)開発者の実装と似た機能を持つこと、4)提供されるコードのコンテキストで効率的に使用できること、である。
論文参考訳（メタデータ） (2022-10-11T12:30:05Z)
Repro: An Open-Source Library for Improving the Reproducibility and Usability of Publicly Available Research Code [74.28810048824519]
Reproは、研究コードのユーザビリティ向上を目的とした、オープンソースのライブラリである。 Dockerコンテナ内で研究者がリリースしたソフトウェアを実行するための軽量Python APIを提供する。
論文参考訳（メタデータ） (2022-04-29T01:54:54Z)
Towards Utility-based Prioritization of Requirements in Open Source Environments [51.65930505153647]
本稿では、ユーティリティベースの優先順位付けアプローチを使用して、従来およびオープンソース要件エンジニアリングシナリオのコントリビュータをサポートする方法を示します。例として、ユーティリティベースの優先順位付けプロセスで依存関係をどのように考慮できるかを示します。
論文参考訳（メタデータ） (2021-02-17T09:05:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。