論文の概要: On Good Authority: Release-Authority Measurement for Registry-Mediated Package Ecosystems
- arxiv url: http://arxiv.org/abs/2606.22593v1
- Date: Sun, 21 Jun 2026 16:58:53 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-25 17:28:49.504475
- Title: On Good Authority: Release-Authority Measurement for Registry-Mediated Package Ecosystems
- Title(参考訳): 公益性について:レジストリ媒介パッケージエコシステムにおけるリリース・オーソリティ測定
- Authors: Igor Santos-Grueiro,
- Abstract要約: 依存性グラフは、リリースされたコードがどこでフローできるかを示し、リリースの公開に使われた公開パスが変更されたかどうかを暗黙的に示す。
各パッケージリリースを,その直前のパッケージリリースと比較する,前者対応リリースオーソリティレコードを導入する。
npm、PyPI、Maven Central、crates.io、RubyGemsから2024年4月から2026年6月までに監査された、意図的にサンプリングされたレコードをインスタンス化する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Dependency graphs show where released code can flow, while leaving implicit whether the public path used to publish a release changed. We introduce a predecessor-aware release-authority record that compares each package release with its immediate predecessor across publisher, repository, workflow, provenance, signing, and mediation evidence. We instantiate the record over a purposefully sampled, audited April 2024--June 2026 cohort from npm, PyPI, Maven Central, crates.io, and RubyGems: 45,812 releases, 43,100 eligible predecessor comparisons, and 942 package coordinates. Go is reported separately as a VCS/proxy/checksum-log boundary adapter. Transparent rules identify 204 policy-triggering public release-path discontinuities. The exact trigger policy is the primary candidate queue. A uniform semantic-distance rule selects 320 releases and covers 190/204 triggers; a descriptive regime-specific rule selects 337 releases and covers all 204. In a blinded 60-row shared core, three practitioners rated 20/30 triggers as immediate review, 9/30 as monitoring, 1/30 as no review, and all 30 controls as no review. These signals are review cues over public release-path evidence. Exact malicious versions in our external alignment have zero overlap with the policy triggers. Same-path compromise, unchanged compromised CI, and versions absent from public snapshots require separate evidence beyond this release-path record.
- Abstract(参考訳): 依存性グラフは、リリースされるコードがどこに流れるかを示し、リリースを公開するために使用される公開パスが変更されたかどうかを暗黙的に示す。
各パッケージリリースを,パブリッシャ,レポジトリ,ワークフロー,証明,署名,仲介エビデンスにまたがって,その直前のパッケージリリースと比較する,前者対応のリリースオーソリティレコードを紹介します。
我々は、npm、PyPI、Maven Central、crates.io、RubyGemsから2024年4月から2026年6月までに監査された、意図的にサンプリングされたレコードをインスタンス化する。
GoはVCS/proxy/checksum-log境界アダプタとして別々に報告される。
トランスペアレントルールは、204のポリシーによる公開パスの不連続を識別する。
トリガーポリシーは、プライマリ候補のキューです。
統一的なセマンティックディスタンスルールは320リリースを選択し、190/204トリガをカバーする。
ブラインドされた60の共有コアでは、3人の実践者が20/30のトリガを即時レビュー、9/30が監視、1/30がレビューなし、30のコントロールはすべてレビューなしと評価した。
これらのシグナルは、公開パスの証拠に関するレビューの手がかりだ。
外部アライメントの特定の悪意のあるバージョンは、ポリシートリガーと重複しない。
同様のパスの妥協、CIの不正な妥協、パブリックスナップショットの欠如などには、このリリースパスレコード以外の別のエビデンスが必要だ。
関連論文リスト
- From Attack Simulation to SIEM Rule: Deterministic Detection-as-Code Synthesis with Probe-Level Traceability [51.56484100374058]
セキュリティチームは、自身のシステムに対する攻撃をシミュレートして、監視が真の侵入者を捕まえるかどうかをチェックする。
人間はそのギャップを手でブリッジし、それぞれの発見を読み、対応するシグマルールを書きます。
ロックされたコーパスからプローブが引き出されると,この変換が部分的に自動化されることを示す。
論文 参考訳(メタデータ) (2026-06-03T14:26:25Z) - Proof-Carrying Agent Actions: Model-Agnostic Runtime Governance for Heterogeneous Agent Systems [0.6526824510982799]
本稿では,アクション証明書を中心としたランタイム中立ガバナンスモデルであるProof-Carrying Agent Actions (PCAA)を提案する。
PCAAは5つのチェックポイント(事前行動の許容、行動のオープン、仮定のキャプチャ、承認、結果のクロージャ)を統括する。
異種エージェント制御プレーンと開示バウンダリ評価プロトコルの参照実装を用いてモデルについて検討する。
論文 参考訳(メタデータ) (2026-06-02T18:10:35Z) - KYA: A Framework-Agnostic Trust Layer for Autonomous Systems with Verifiable Provenance and Hierarchical Policy Composition [0.0]
KYA(Know Your Agents)は、自律システムのためのオープンソースのフレームワークに依存しない信頼層である。
PyPIのveldt-kyaパッケージとしてApache 2.0で利用可能である。
論文 参考訳(メタデータ) (2026-05-25T02:59:54Z) - An Executable Benchmarking Suite for Tool-Using Agents [3.5322131912413908]
このスイートは、WebArena Verified、SWE-GymスライスとSWE-bench互換の検証、および一般的なワークロードアダプタを介してMiniWoB++を接続する。
承認されたエビデンスには、レイテンシ、無効動作、パッチ生成コスト、検証済みメタデータ、リプレイバインディング、そして1つの監査可能な契約下での証明が記録されている。
論文 参考訳(メタデータ) (2026-05-10T21:24:53Z) - ClawMark: A Living-World Benchmark for Multi-Turn, Multi-Day, Multimodal Coworker Agents [77.22389710754452]
マルチターンマルチデイタスクを中心に構築された同僚エージェントのベンチマークであるベンチを紹介する。
現在のリリースには、13のプロのシナリオにわたる100のタスクが含まれており、5つのステートフルなサンドボックスサービスに対して実行される。
最強のモデルは75.8の重み付きスコアに達するが、最も厳格なタスク成功率は20.0%に過ぎず、部分的な進歩が一般的であることを示している。
論文 参考訳(メタデータ) (2026-04-26T16:05:02Z) - Committed SAE-Feature Traces for Audited-Session Substitution Detection in Hosted LLMs [2.6382975801439836]
ホスト型LLMプロバイダにはサイレント代替インセンティブがあり、より強力なモデルを宣伝し、より安価な応答を提供する。
このギャップを埋めるコミットオープンプロトコルを提案する。
プロトコルを3つのバックボーン(Qwen3-1.7B、Gemma-2-2B、およびGemma-2-9Bへの4.5倍スケールアップ)でインスタンス化する。
論文 参考訳(メタデータ) (2026-04-20T12:34:56Z) - Compiling Activation Steering into Weights via Null-Space Constraints for Stealthy Backdoors [48.881343993730844]
安全性に整合した大規模言語モデル(LLM)は、現実世界のパイプラインにますますデプロイされている。
敵は通常の評価では動作しないバックドアのチェックポイントを配布することができる。
最近のポストホック重み付け法は、そのようなバックドアを注入するための効率的なアプローチを提供する。
論文 参考訳(メタデータ) (2026-04-14T06:48:33Z) - KnowU-Bench: Towards Interactive, Proactive, and Personalized Mobile Agent Evaluation [72.01173512175531]
KnowU-Benchはパーソナライズされたモバイルエージェントのためのオンラインベンチマークである。
42のGUIタスク、86のパーソナライズされたタスク、64のプロアクティブタスクをカバーしている。
明示的なタスク実行に優れるエージェントは、あいまいな指示の下で50%以下に低下する。
論文 参考訳(メタデータ) (2026-04-09T16:50:50Z) - Privacy in Theory, Bugs in Practice: Grey-Box Auditing of Differential Privacy Libraries [11.924357290256374]
DPアルゴリズムの内部状態を検査するグレーボックス監査パラダイムであるRe:cord-playを導入する。
Re:cord-playは、近隣のデータセットで同じランダム性で計測されたアルゴリズムを実行することで、データ依存の制御フローを直接チェックする。
12のオープンソースライブラリを監査することで,新しいテストアプローチが効果的かつ必要であることを示す。
論文 参考訳(メタデータ) (2026-02-19T15:18:00Z) - Detection Transformer with Stable Matching [48.963171068785435]
もっとも重要な設計は, 肯定的な事例の分類スコアを監督するために, 位置測定値のみを使用することである。
本原理では,DTRの分類損失とマッチングコストに位置測定値を統合することで,簡易かつ効果的な2つの修正を提案する。
12エポックおよび24エポックのトレーニング設定の下でResNet-50バックボーンを用いてCOCO検出ベンチマークで50.4および51.5APを達成する。
論文 参考訳(メタデータ) (2023-04-10T17:55:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。