@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00223144,
 author = {光澤, 加偉 and 甲斐, 賢 and ルーク, コリー and 近藤, 賢郎 and 手塚, 悟 and Kai, Mitsuzawa and Satoshi, Kai and Korry, Luke and Takao, Kondo and Satoru, Tezuka},
 book = {コンピュータセキュリティシンポジウム2022論文集},
 month = {Oct},
 note = {ユーザがソフトウェアパッケージをインストールする際に，npm 等のパッケージマネージャは当該ソフトウェアやその依存ライブラリの真正性検証や脆弱性の検出等を行う．しかし，ソフトウェアのメンテナンス頻度や開発コミュニティの活発性等，それらのソースコードの管理のされ方までをユーザが意識する事は稀だ．ソースコードの管理され方が不透明な場合，メンテナが変わる等の要因でマルウェアが混入されるリスクが生じる．本稿では，ソフトウェアをパッケージマネージャによりインストールする際，そのソフトウェアと依存ライブラリのソースコードの管理のされ方を検証し可視化する機構を npm パッケージマネージャのアドオンとして提案する．本機構はソースコードの管理のされ方の可視化を含む SBOM (Software Bill of Materials) を動的に作成し，当該ソフトウェアが孕むリスクをユーザが事前に把握するのに資する．本稿では，npm パッケージマネージャを元にソフトウェアをインストールする際に使用される本機構の評価に向けた，パッケージ 1 件当たりのソースコードの管理のされ方の検証時間を手動で確認した．, When users install software packages, package managers like npm perform signature verification and vulnerability detection of software and dependent libraries. However, users are rarely aware of how the source code is managed, such as software maintenance and developer community activity. When source code management is unclear, a malicious party could introduce malware due to changes in maintainers. In this paper, we propose a mechanism to verify and visualize the management of source code of software and dependencies when a package manager installs software as an add-on to the npm package manager. This mechanism dynamically creates an SBOM (Software Bill of Materials) that includes a visualization of the source code management and helps users understand the software's risks in advance. Additionally, we conducted a simple evaluation of our implementation by checking the time required to evaluate and install each package when installed using our mechanism based on the npm package manager.},
 pages = {651--658},
 publisher = {情報処理学会},
 title = {ソースコード管理のされ方を可視化するパッケージマネージャnpmアドオン},
 year = {2022}
}