論文の概要: Original Sin of npm: A Study on Vulnerability Propagation in JavaScript Dependency Networks
- arxiv url: http://arxiv.org/abs/2604.17668v1
- Date: Sun, 19 Apr 2026 23:44:28 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-21 21:52:52.628606
- Title: Original Sin of npm: A Study on Vulnerability Propagation in JavaScript Dependency Networks
- Title(参考訳): npmのオリジナル・シン:JavaScript依存ネットワークにおける脆弱性の伝播に関する研究
- Authors: Michael Robinson, Sajal Halder, Muhammad Ejaz Ahmed, Muhammad Ikram, Seyit Camtepe, Hyoungshick Kim,
- Abstract要約: 本稿では、カスタム構築の脆弱性データベースから収集された脆弱性1,515件について考察する。
最初の脆弱性バージョンがnpmで公開されたときから、脆弱性のあるパッケージを修正するのに平均して4年11ヶ月かかる。
- 参考スコア(独自算出の注目度): 16.016433368001504
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Understanding vulnerability propagation is essential for assessing how vulnerabilities spread across components of a software package. This supports more accurate impact analysis and enhances threat detection and mitigation. In this paper, we investigate how a small number of vulnerable JavaScript packages contribute to the creation of a disproportionately large number of vulnerable packages. This paper presents insights from 1,515 reported vulnerabilities gathered from a custom-built vulnerability database containing 1,077,946 JavaScript packages sourced from `npm-follower' and their associated dependency networks. Dependency networks were constructed using the deps.dev API, with vulnerabilities identified by parsing package names and version numbers through the Google Open Source Vulnerability API. Our findings reveal that 61.30% (660,748) of packages are reliant on one or more dependency packages, and 21.60% (232,836) of total packages have at least one known vulnerability throughout their dependency networks -- of which most (42%) are of High severity. We also found that it takes, on average, approximately 4 years and 11 months to fix a vulnerable package from when the first vulnerable version is published on npm -- although publication times of vulnerabilities occur approximately 19 days after a fix is available. Finally, we observe a high concentration of frequently present vulnerabilities throughout dependency networks, with the top-7 most frequent vulnerabilities accounting for 25% of vulnerability cases and the top-23 most frequent accounting for 50%. Based on these findings, we propose recommendations for developers and package managers to mitigate the threat and occurrence of vulnerabilities within the npm dependency network and the broader software repository community.
- Abstract(参考訳): 脆弱性の伝播を理解することは、ソフトウェアパッケージのコンポーネントにまたがる脆弱性がどのように広がるかを評価するのに不可欠である。
これにより、より正確な影響分析がサポートされ、脅威の検出と緩和が強化される。
本稿では,少数の脆弱なJavaScriptパッケージが,不当に多数の脆弱なパッケージの作成にどのように貢献するかを検討する。
本稿では,‘npm-follower’と関連する依存関係ネットワークから生成された1077,946個のJavaScriptパッケージを含む,カスタムビルドの脆弱性データベースから収集された1,515件の脆弱性に関する知見を紹介する。
依存関係ネットワークはdeps.dev APIを使用して構築され、Google Open Source Vulnerability APIを通じてパッケージ名とバージョン番号を解析することで脆弱性を特定した。
私たちの調査によると、パッケージの61.30%(660,748)が1つ以上の依存パッケージに依存しており、21.60%(232,836)のパッケージが、依存関係ネットワーク全体で少なくとも1つの既知の脆弱性を持っていることが判明した。そのうちの42%は、高い重大度である。また、最初の脆弱性バージョンがnpmで公開されたときから、脆弱性パッケージを修正するのに平均4年11ヶ月かかることもわかりました。
最後に、依存関係ネットワーク全体で頻繁に発生する脆弱性の集中度の高さを観察し、最も頻繁な脆弱性のトップ7が25%、最も頻繁な脆弱性トップ23が50%を占めています。
これらの知見に基づき、npm依存ネットワークとより広範なソフトウェアリポジトリコミュニティにおける脆弱性の脅威と発生を軽減するため、開発者とパッケージマネージャに推奨する。
関連論文リスト
- Your Agent, Their Asset: A Real-World Safety Analysis of OpenClaw [87.97230960702274]
本稿では,OpenClawの安全性評価について紹介する。
エージェントの永続状態を3次元に統一するCIK分類法を導入する。
評価では、ライブOpenClawインスタンス上の12のアタックシナリオをカバーしています。
論文 参考訳(メタデータ) (2026-04-06T15:27:05Z) - Open Source, Open Threats? Investigating Security Challenges in Open-Source Software [0.7810572107832383]
オープンソースソフトウェア(OSS)は、さまざまなドメインでますます人気が高まっている。
本稿ではOSSプラットフォームにおける報告された脆弱性の傾向とパターンについて考察する。
論文 参考訳(メタデータ) (2025-06-15T23:22:25Z) - PoCGen: Generating Proof-of-Concept Exploits for Vulnerabilities in Npm Packages [13.877936187495555]
我々は,npmパッケージの脆弱性に対するPoCエクスプロイトを自律的に生成し,検証する新しいアプローチであるPoCGenを提案する。
PoCGenはSecBench$.jsデータセットの脆弱性の77%のエクスプロイトを生成することに成功した。
論文 参考訳(メタデータ) (2025-06-05T12:37:33Z) - CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。
我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。
これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
論文 参考訳(メタデータ) (2025-06-03T07:35:14Z) - Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。
1,756の脆弱性のあるオープンソースプロジェクトを特定しました。
当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
論文 参考訳(メタデータ) (2025-05-26T16:29:21Z) - The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。
約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。
また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
論文 参考訳(メタデータ) (2025-04-05T13:45:27Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Dependency Practices for Vulnerability Mitigation [4.710141711181836]
npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
論文 参考訳(メタデータ) (2023-10-11T19:48:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。