| Item type |
Symposium(1) |
| 公開日 |
2022-10-17 |
| タイトル |
|
|
タイトル |
ソースコード管理のされ方を可視化するパッケージマネージャnpmアドオン |
| タイトル |
|
|
言語 |
en |
|
タイトル |
An npm add-on to visualize source code management |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
software supply chain, package manager, dependency transparency |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
慶應義塾大学環境情報学部 |
| 著者所属 |
|
|
|
慶應義塾大学SFC研究所 |
| 著者所属 |
|
|
|
慶應義塾インフォメーションテクノロジーセンター |
| 著者所属 |
|
|
|
慶應義塾情報セキュリティインシデント対応チーム |
| 著者所属 |
|
|
|
慶應義塾大学環境情報学部 |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Information and Environment Studies, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Keio Research Institute at SFC, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Information Technology Center, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Computer Security Incident Response Team, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Information and Environment Studies, Keio University |
| 著者名 |
光澤, 加偉
甲斐, 賢
ルーク, コリー
近藤, 賢郎
手塚, 悟
|
| 著者名(英) |
Kai, Mitsuzawa
Satoshi, Kai
Korry, Luke
Takao, Kondo
Satoru, Tezuka
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
ユーザがソフトウェアパッケージをインストールする際に,npm 等のパッケージマネージャは当該ソフトウェアやその依存ライブラリの真正性検証や脆弱性の検出等を行う.しかし,ソフトウェアのメンテナンス頻度や開発コミュニティの活発性等,それらのソースコードの管理のされ方までをユーザが意識する事は稀だ.ソースコードの管理され方が不透明な場合,メンテナが変わる等の要因でマルウェアが混入されるリスクが生じる.本稿では,ソフトウェアをパッケージマネージャによりインストールする際,そのソフトウェアと依存ライブラリのソースコードの管理のされ方を検証し可視化する機構を npm パッケージマネージャのアドオンとして提案する.本機構はソースコードの管理のされ方の可視化を含む SBOM (Software Bill of Materials) を動的に作成し,当該ソフトウェアが孕むリスクをユーザが事前に把握するのに資する.本稿では,npm パッケージマネージャを元にソフトウェアをインストールする際に使用される本機構の評価に向けた,パッケージ 1 件当たりのソースコードの管理のされ方の検証時間を手動で確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
When users install software packages, package managers like npm perform signature verification and vulnerability detection of software and dependent libraries. However, users are rarely aware of how the source code is managed, such as software maintenance and developer community activity. When source code management is unclear, a malicious party could introduce malware due to changes in maintainers. In this paper, we propose a mechanism to verify and visualize the management of source code of software and dependencies when a package manager installs software as an add-on to the npm package manager. This mechanism dynamically creates an SBOM (Software Bill of Materials) that includes a visualization of the source code management and helps users understand the software's risks in advance. Additionally, we conducted a simple evaluation of our implementation by checking the time required to evaluate and install each package when installed using our mechanism based on the npm package manager. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2022論文集
p. 651-658,
発行日 2022-10-17
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2022089.pdf (742.5 kB)
