本研究は、NPM、PyPI、Cargoの3つのエコシステムにおけるパッケージの依存関係の更新状況を分析しています。
まず、依存関係の更新状況を時間ベースで捉える2つの新しいメトリクス、Time-Out-Of-Date (TOOD)とPost-Fix-Exposure-Time (PFET)を提案しました。TOODは、パッケージが最新の依存関係バージョンを使用していない期間を表し、PFETは、パッケージが脆弱性のある依存関係バージョンを使用し続けている期間を表します。
大規模な実証研究の結果、以下の知見が得られました:
PyPIパッケージは、NPMやCargoよりも依存関係を素早く更新している。一方で、Cargoパッケージは、NPMやPyPIよりも脆弱な依存関係を素早く更新している。
TOODとPFETの間には強い正の相関があり、TOODはPFETの代替指標として使用できる可能性がある。ただし、パッケージの寿命が900日を超えると、両指標の関係性が変化する。
これらの知見は、パッケージの依存関係管理の実践を理解し、ソフトウェアサプライチェーンのセキュリティ向上に役立つと考えられます。
To Another Language
from source content
arxiv.org
Key Insights Distilled From
by Imranur Rahm... at arxiv.org 03-27-2024
https://arxiv.org/pdf/2403.17382.pdfDeeper Inquiries