論文の概要: Analysis of Commit Signing on Github
- arxiv url: http://arxiv.org/abs/2604.14014v1
- Date: Wed, 15 Apr 2026 15:57:07 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-16 20:38:32.6196
- Title: Analysis of Commit Signing on Github
- Title(参考訳): Githubにおけるコミット署名の分析
- Authors: Abubakar Sadiq Shittu, John Sadik, Farzin Gholamrezae, Scott Ruoti,
- Abstract要約: 私たちは71,694人のアクティブなGitHubユーザを調査し、少なくとも1つのコミットを作成したアカウントとして定義しました。
6%以上の開発者が自身でコミットにサインしたことはなく、明らかな署名者の大多数は、Webブラウザ外でサインインしたことがない。
署名キーはGitHubにアップロードされないため、8人に1人が開発者管理シグネチャの検証に失敗している。
- 参考スコア(独自算出の注目度): 2.1045887299238855
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Commit signing is widely promoted as a foundation of software supply-chain security, yet prior work has studied it through the lens of individual repositories or curated project samples, missing the broader picture of how developers behave across an entire platform. Grounded in replicability theory, we vary the sampling unit from repositories to individual developers, following 71,694 active GitHub users, defined as accounts that have authored at least one commit, across all their repositories and their entire commit history, spanning 16 million commits and 874,198 repositories. This platform-wide, user-centric view reveals a fundamental gap that repository sampling cannot detect. The ecosystem's apparent high signing adoption rate is an illusion. Once platform-generated signatures are excluded, fewer than 6% of developers have ever signed a commit themselves, and the vast majority of apparent signers have never signed outside a web browser. Among the minority who do sign locally, signing rarely persists over time or across repositories, and roughly one in eight developer-managed signatures fails verification because signing keys are never uploaded to GitHub. Examining the key registry, we find that expired keys are almost never revoked and more than a quarter of users carry at least one dead key. Together, these findings reveal that commit signing as practiced today cannot serve as a dependable provenance signal at ecosystem scale, and we offer concrete recommendations for closing that gap.
- Abstract(参考訳): コミット署名はソフトウェアサプライチェーンセキュリティの基盤として広く推奨されているが、以前の研究は個々のリポジトリやプロジェクトサンプルのキュレーションを通じて、開発者がプラットフォーム全体にわたってどのように振る舞うかというより広いイメージを欠いている。
リポジトリから個々の開発者へのサンプリング単位は、少なくとも1つのコミットを作成したアカウントとして定義された71,694人のアクティブなGitHubユーザに従って、レポジトリとコミット履歴全体にわたって、1600万コミットと874,198リポジトリにまたがる。
このプラットフォーム全体のユーザ中心のビューは、リポジトリのサンプリングが検出できない根本的なギャップを明らかにします。
生態系の署名率の高さは、幻想的だ。
一度プラットフォーム生成シグネチャが除外されると、開発者がコミットにサインしたことは6%に満たず、明らかなシグネチャの大部分はWebブラウザ外で署名したことがありません。
署名キーはGitHubにアップロードされないため、8人に1人が開発者管理シグネチャの検証に失敗している。
キーレジストリを調べると、期限切れのキーはほとんど取り消されず、ユーザの4分の1以上が少なくとも1つのデッドキーを持っていることが分かります。
これらの結果から,今日行われているコミット署名は,生態系規模での信頼性の高い前兆信号として機能しないことが明らかとなり,そのギャップを埋めるための具体的な勧告が提示される。
関連論文リスト
- Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。
サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。
スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
論文 参考訳(メタデータ) (2025-10-22T05:18:28Z) - On the Prevalence and Usage of Commit Signing on GitHub: A Longitudinal and Cross-Domain Study [1.834753484317836]
5年以上にわたってGitHubリポジトリに確認されたコミットの存在を調査した。
これらの60のリポジトリのコミットのうち、10%のみが検証されている。
我々はGitHubのEvents APIに基づいてコミットオーナシップを特定する方法を提案する。
論文 参考訳(メタデータ) (2025-04-27T12:39:50Z) - Six Million (Suspected) Fake Stars in GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware [52.84746696418136]
われわれは,GitHubにおける偽星の系統的,グローバル的,縦断的な測定を行った。
スケーラブルなツールであるStarScoutは、2019年から2024年の間に、すべてのGitHubメタデータにわたって、異常に主演する動作を検出することができる。
その結果,(1) 偽星関連活動は2024年に急速に急増し,(2) 偽星キャンペーンのアカウントやレポジトリは極めて自明な活動パターンを持ち,ほとんどの偽星は短命のフィッシングマルウェアレポジトリを促進するために使用されている。
論文 参考訳(メタデータ) (2024-12-18T03:03:58Z) - DiVerify: Hardening Identity-Based Software Signing with Programmable Diverse-Context Scopes [11.521573335215239]
最先端のIDベースのコード署名スキームには大きな欠点がある。
署名が生成されるコンテキストに関する検証可能な情報の提供に失敗する。
本稿では,検証の単一源への依存度を低減させる多種多様なアイデンティティ検証手法を提案する。
論文 参考訳(メタデータ) (2024-06-21T18:53:52Z) - Alibaba LingmaAgent: Improving Automated Issue Resolution via Comprehensive Repository Exploration [64.19431011897515]
本稿では,問題解決のためにソフトウェアリポジトリ全体を包括的に理解し,活用するために設計された,新しいソフトウェアエンジニアリング手法であるAlibaba LingmaAgentを提案する。
提案手法では,重要なリポジトリ情報を知識グラフに凝縮し,複雑さを低減し,モンテカルロ木探索に基づく戦略を採用する。
Alibaba Cloudの製品展開と評価において、LingmaAgentは、開発エンジニアが直面した社内問題の16.9%を自動で解決し、手作業による介入で43.3%の問題を解決した。
論文 参考訳(メタデータ) (2024-06-03T15:20:06Z) - Analyzing the Accessibility of GitHub Repositories for PyPI and NPM Libraries [91.97201077607862]
産業アプリケーションはオープンソースソフトウェア(OSS)ライブラリに大きく依存しており、様々な利点を提供している。
このようなコミュニティの活動を監視するには、エコシステムのライブラリの包括的なリポジトリのリストにアクセスしなければなりません。
本研究では、PyPIライブラリとNPMライブラリのGitHubリポジトリのアクセシビリティを分析する。
論文 参考訳(メタデータ) (2024-04-26T13:27:04Z) - Signing in Four Public Software Package Registries: Quantity, Quality, and Influencing Factors [4.944550691418216]
パッケージメンテナは、ソフトウェア署名を通じてパッケージオーサシップを保証できる。
この慣習がどの程度一般的か、結果のシグネチャが適切に作成されるかどうかは不明である。
論文 参考訳(メタデータ) (2024-01-26T03:55:36Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。