Fugu-MT 論文翻訳(概要): Cross-Ecosystem Vulnerability Analysis for Python Applications

論文の概要: Cross-Ecosystem Vulnerability Analysis for Python Applications

arxiv url: http://arxiv.org/abs/2603.18693v1
Date: Thu, 19 Mar 2026 09:52:29 GMT
ステータス: 翻訳完了
システム内更新日: 2026-03-20 17:19:06.07377
Title: Cross-Ecosystem Vulnerability Analysis for Python Applications
Title（参考訳）: Pythonアプリケーションのためのクロスエコシステム脆弱性解析
Authors: Georgios Alexopoulos, Nikolaos Alexopoulos, Thodoris Sotiropoulos, Charalambos Mitropoulos, Zhendong Su, Dimitris Mitropoulos,
Abstract要約: Pythonアプリケーションは、パッケージディストリビューション内でベンダ化されたり、ホストシステムにインストールされたりする、ネイティブライブラリに依存している。現在の脆弱性スキャナは、OSディストリビューションによってバックポートされたセキュリティパッチを無視して、ベンダーの脆弱性の欠如と偽陽性によって偽陰性を生成する。我々は、ベンダーライブラリを特定のOSパッケージバージョンやアップストリームリリースに解決する、実証可能な脆弱性分析手法を提案する。
参考スコア（独自算出の注目度）: 8.776396282382864
License: http://creativecommons.org/licenses/by-sa/4.0/
Abstract: Python applications depend on native libraries that may be vendored within package distributions or installed on the host system. When vulnerabilities are discovered in these libraries, determining which Python packages are affected requires cross-ecosystem analysis spanning Python dependency graphs and OS package versions. Current vulnerability scanners produce false negatives by missing vendored vulnerabilities and false positives by ignoring security patches backported by OS distributions. We present a provenance-aware vulnerability analysis approach that resolves vendored libraries to specific OS package versions or upstream releases. Our approach queries vendored libraries against a database of historical OS package artifacts using content-based hashing, and applies library-specific dynamic analyses to extract version information from binaries built from upstream source. We then construct cross-ecosystem call graphs by stitching together Python and binary call graphs across dependency boundaries, enabling reachability analysis of vulnerable functions. Evaluating on 100,000 Python packages and 10 known CVEs associated with third-party native dependencies, we identify 39 directly vulnerable packages (47M+ monthly downloads) and 312 indirectly vulnerable client packages affected through dependency chains. Our analysis achieves up to 97% false positive reduction compared to upstream version matching.
Abstract（参考訳）: Pythonアプリケーションは、パッケージディストリビューション内でベンダー化されたり、ホストシステムにインストールされたりする、ネイティブライブラリに依存している。これらのライブラリで脆弱性が発見された場合、どのPythonパッケージが影響を受けるかを決定するには、Python依存グラフとOSパッケージバージョンにまたがるクロスエコシステム分析が必要である。現在の脆弱性スキャナは、OSディストリビューションによってバックポートされたセキュリティパッチを無視して、ベンダーの脆弱性の欠如と偽陽性によって偽陰性を生成する。我々は、ベンダーライブラリを特定のOSパッケージバージョンやアップストリームリリースに解決する、実証可能な脆弱性分析手法を提案する。当社のアプローチでは,パッケージパッケージのデータベースに対して,コンテンツベースのハッシュを用いて問合せを行うとともに,ライブラリ固有の動的解析を適用して,上流ソースから構築したバイナリからバージョン情報を抽出する。次に、依存境界を越えてPythonとバイナリコールグラフを縫合して、クロスエコシステムコールグラフを構築し、脆弱な関数の到達可能性分析を可能にする。サードパーティのネイティブ依存関係に関連する10,000のPythonパッケージと10の既知のCVEを評価し、39の直接的な脆弱性のあるパッケージ(月間47M以上ダウンロード)と、依存関係チェーンによって影響を受ける312の間接的脆弱性のあるクライアントパッケージを特定します。以上の結果から,アップストリームバージョンマッチングと比較して最大97%の偽陽性率の低下が得られた。

関連論文リスト

Why Authors and Maintainers Link (or Don't Link) Their PyPI Libraries to Code Repositories and Donation Platforms [83.16077040470975]
Python Package Index(PyPI)上のライブラリのメタデータは、オープンソースライブラリの透明性、信頼性、持続性をサポートする上で重要な役割を果たす。本稿は,5万PyPIの著者とメンテナに送付された2つの対象調査を組み合わせた大規模実証研究である。我々は,大規模言語モデル(LLM)に基づくトピックモデリングを用いて1,400以上の応答を分析し,リポジトリと寄付プラットフォームのリンクに関連する重要なモチベーションと障壁を明らかにする。
論文参考訳（メタデータ） (2026-01-21T16:13:57Z)
Analyzing the Availability of E-Mail Addresses for PyPI Libraries [89.21869606965578]
81.6%のライブラリには、少なくとも1つの有効な電子メールアドレスが含まれており、PyPIが主要なソースとなっている。 698,000以上の無効なエントリを識別します。
論文参考訳（メタデータ） (2026-01-20T14:54:58Z)
An Empirical Study of Vulnerabilities in Python Packages and Their Detection [12.629138654621983]
この記事では、Pythonパッケージの脆弱性の包括的なベンチマークスイートであるPyVulを紹介する。 PyVulには、公表された1,157の開発者認証脆弱性が含まれており、それぞれが影響を受けるパッケージにリンクされている。ラベル精度を向上し、100%コミットレベルと94%関数レベルの精度を達成するために、LCM支援データクリーニング手法が組み込まれている。
論文参考訳（メタデータ） (2025-09-04T14:38:28Z)
PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python [1.2644387713029346]
本稿では、PyPIエコシステム全体にわたる脆弱な依存関係の定量的解析であるPyPitfallを紹介する。我々は,378,573個のPyPIパッケージの依存関係構造を分析し,少なくとも1つの既知の拡張可能なバージョンを必要とする4,655個のパッケージを特定した。我々は,Pythonソフトウェアサプライチェーンのセキュリティに対する認識を高めることを目的としている。
論文参考訳（メタデータ） (2025-07-24T03:58:18Z)
Analyzing the Usage of Donation Platforms for PyPI Libraries [91.97201077607862]
本研究では,PyPIエコシステムにおける寄付プラットフォームの導入状況について分析した。 GitHub Sponsorsが支配的なプラットフォームであるが、多くのPyPIリストのリンクは時代遅れである。
論文参考訳（メタデータ） (2025-03-11T10:27:31Z)
DySec: A Machine Learning-based Dynamic Analysis for Detecting Malicious Packages in PyPI Ecosystem [4.045165357831481]
悪意あるPythonパッケージは、Python Package Index (PyPI)のようなオープンソースのリポジトリの信頼を悪用することで、ソフトウェアサプライチェーンを脆弱にするリアルタイムの行動監視の欠如は、メタデータ検査と静的コード解析を高度な攻撃戦略に不適当にする。我々は,PyPI用の機械学習ベースの動的解析フレームワークであるDySecを紹介し,eBPFカーネルとユーザレベルのプローブを用いてパッケージインストール時の動作を監視する。
論文参考訳（メタデータ） (2025-03-01T03:20:42Z)
PyPulse: A Python Library for Biosignal Imputation [58.35269251730328]
PyPulseは,臨床およびウェアラブルの両方のセンサ設定において生体信号の計算を行うPythonパッケージである。 PyPulseのフレームワークは、非機械学習バイオリサーバーを含む幅広いユーザーベースに対して、使い勝手の良いモジュラーで拡張可能なフレームワークを提供する。 PyPulseはMITライセンスでGithubとPyPIでリリースしました。
論文参考訳（メタデータ） (2024-12-09T11:00:55Z)
A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
論文参考訳（メタデータ） (2024-12-06T18:49:06Z)
On the Feasibility of Cross-Language Detection of Malicious Packages in npm and PyPI [6.935278888313423]
悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
論文参考訳（メタデータ） (2023-10-14T12:32:51Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。