論文の概要: Software Supply Chain Smells: Lightweight Analysis for Secure Dependency Management

• arxiv url: http://arxiv.org/abs/2603.24282v1
• Date: Wed, 25 Mar 2026 13:15:50 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-26 21:06:11.303838
• Title: Software Supply Chain Smells: Lightweight Analysis for Secure Dependency Management
• Title（参考訳）: Software supply Chain Smells: セキュア依存関係管理のための軽量分析
• Authors: Larissa Schmid, Diogo Gaspar, Raphina Liu, Sofia Bobadilla, Benoit Baudry, Martin Monperrus,
• Abstract要約: ソフトウェアサプライチェーンの臭いという概念を,潜在的なセキュリティリスクを示唆する構造指標として紹介する。 本稿では,ソフトウェアパッケージのサプライチェーンにおける匂いを検出する新しいツールであるDirty-Watersの設計と評価を行う。
• 参考スコア（独自算出の注目度）: 7.554277962800185
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Modern software systems heavily rely on third-party dependencies, making software supply chain security a critical concern. We introduce the concept of software supply chain smells as structural indicators that signal potential security risks. We design and evaluate Dirty-Waters, a novel tool for detecting such smells in the supply chains of software packages. Through interviews with practitioners, we show that our proposed smells align with real-world concerns and capture signals considered valuable. A quantitative study of popular packages in the Maven and NPM ecosystems reveals that while smells are prevalent in both, they differ significantly across ecosystems, with traceability and signing issues dominating in Maven and most smells being rare in NPM, due to strong registry-level guarantees. Software supply chain smells support developers and organizations in making informed decisions and improving their software supply chain security posture.
• Abstract（参考訳）: 現代のソフトウェアシステムはサードパーティの依存関係に大きく依存しており、ソフトウェアサプライチェーンのセキュリティが重要な懸念事項となっている。 ソフトウェアサプライチェーンの臭いという概念を,潜在的なセキュリティリスクを示唆する構造指標として紹介する。 本稿では,ソフトウェアパッケージのサプライチェーンにおける匂いを検出する新しいツールであるDirty-Watersの設計と評価を行う。 実践者へのインタビューを通じて,提案した嗅覚が現実世界の関心事と一致し,貴重なシグナルを捉えていることを示す。 Maven と NPM のエコシステムで人気のパッケージを定量的に調査した結果,両エコシステムとも臭いは多いが,Maven ではトレーサビリティや署名の問題が支配的であり,レジストリレベルの保証が強いため NPM では,ほとんどの臭いは稀である,という結果が得られた。 ソフトウェアサプライチェーンは、情報的な決定を行い、ソフトウェアサプライチェーンのセキュリティ姿勢を改善する上で、開発者や組織を支援します。

関連論文リスト

• ORCA -- An Automated Threat Analysis Pipeline for O-RAN Continuous Development [57.61878484176942]
  Open-Radio Access Network (O-RAN)は、多くのソフトウェアコンポーネントをクラウドのようなデプロイメントに統合し、これまで考えられていなかったセキュリティ脅威に無線アクセスネットワークを開放する。 現在の脆弱性評価の実践は、しばしば手動、労働集約、主観的な調査に依存しており、脅威分析の不整合につながる。 人間の介入や関連するバイアスを最小限に抑えるために,自然言語処理(NLP)を活用する自動パイプラインを提案する。
  論文  参考訳（メタデータ） (2026-01-20T07:31:59Z)
• Securing the Software Package Supply Chain for Critical Systems [1.3812010983144802]
  ソフトウェアシステムは様々な産業で使われる必需品として成長してきた。 2020年後半に起きたSolarWindsの大規模なハックが示すように、新たな脅威はソフトウェアサプライチェーンをターゲットにしている。 この章は、Proof of Authorityのコンセンサスとマルチパーティ署名を備えた許可付き台帳を含めることで、既存のデリバリフレームワークを強化します。
  論文  参考訳（メタデータ） (2025-05-28T06:42:37Z)
• S3C2 Summit 2024-09: Industry Secure Software Supply Chain Summit [50.93790634176803]
  ここ数年、ソフトウェアサプライチェーンをターゲットにしたサイバー攻撃が急増している。 ソフトウェアサプライチェーン攻撃の脅威は、ソフトウェア業界と米国政府から関心を集めている。 NSFが支援するSecure Software Supply Chain Center (S3C2)の3人の研究者がSecure Software Supply Chain Summitを開催した。
  論文  参考訳（メタデータ） (2025-05-15T17:48:14Z)
• An Analytics-Driven Approach to Enhancing Supply Chain Visibility with Graph Neural Networks and Federated Learning [52.79646338275159]
  本稿では,フェデレートラーニング(FL)とグラフ畳み込みニューラルネットワーク(GCN)を統合して,サプライチェーンの可視性を高める手法を提案する。 FLは、生のデータ交換を必要とせず、情報共有を容易にすることで、国間での協調的なモデルトレーニングを可能にする。 GCNは、知識グラフ内の複雑なリレーショナルパターンをキャプチャするフレームワークを強化し、正確なリンク予測を可能にして、隠れたコネクションを明らかにする。
  論文  参考訳（メタデータ） (2025-03-10T12:15:45Z)
• Tracking Down Software Cluster Bombs: A Current State Analysis of the Free/Libre and Open Source Software (FLOSS) Ecosystem [0.43981305860983705]
  本稿では,FLOSSパッケージリポジトリの現状について概説する。 ソフトウェアエコシステム内の問題領域を特定するという課題に対処する。 その結果,FLOSSエコシステム内には保守性の高いプロジェクトが存在する一方で,サプライチェーンアタックの影響を受けやすいプロジェクトも存在していることが示唆された。
  論文  参考訳（メタデータ） (2025-02-12T08:57:57Z)
• Dirty-Waters: Detecting Software Supply Chain Smells [10.405775369526006]
  ソフトウェアサプライチェーン臭の新しい概念と,ソフトウェアサプライチェーン臭を検出する新しいツールであるDirty-Watersを定義した。 9つのバージョンにわたる3つのJavaScriptプロジェクトでDirty-Watersを評価し、提案されたソフトウェアサプライチェーンの匂いの頻度を実証した。
  論文  参考訳（メタデータ） (2024-10-21T14:24:12Z)
• S3C2 Summit 2023-11: Industry Secure Supply Chain Summit [60.025314516749205]
  本稿は2023年11月16日に開催された産業安全供給チェーンサミットを要約する。 このサミットの目的は、オープンな議論、相互共有を可能にし、ソフトウェアサプライチェーンの確保において、実践経験のある業界実践者が直面する共通の課題に光を当てることだった。
  論文  参考訳（メタデータ） (2024-08-29T13:40:06Z)
• Enhancing Supply Chain Visibility with Knowledge Graphs and Large Language Models [49.898152180805454]
  本稿では,サプライチェーンの可視性を高めるために,知識グラフ(KG)と大規模言語モデル(LLM)を活用した新しいフレームワークを提案する。 我々のゼロショットLPM駆動アプローチは、様々な公共情報源からのサプライチェーン情報の抽出を自動化する。 NERとREタスクの精度が高く、複雑な多層供給ネットワークを理解する効果的なツールを提供する。
  論文  参考訳（メタデータ） (2024-08-05T17:11:29Z)
• An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
  実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。 私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
  論文  参考訳（メタデータ） (2024-06-12T13:30:53Z)
• Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
  全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。 本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-11-20T12:44:37Z)
• Will bots take over the supply chain? Revisiting Agent-based supply chain automation [71.77396882936951]
  エージェントベースのサプライチェーンは2000年初頭から提案されている。 エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。 例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
  論文  参考訳（メタデータ） (2021-09-03T18:44:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。