抄録/ポイント:
抄録/ポイント
文献の概要を数百字程度の日本語でまとめたものです。
部分表示の続きは、JDreamⅢ(有料)でご覧頂けます。
J-GLOBALでは書誌(タイトル、著者名等)登載から半年以上経過後に表示されますが、医療系文献の場合はMyJ-GLOBALでのログインが必要です。
npm登録は,JavaScriptとタイプScript生態系の柱のひとつであり,単純なユーティリティライブラリーから複雑なフレームワークと全体応用にわたる1.7百万のパッケージを収容する。npmの圧倒的な人気のために,それは,新しいパッケージを発行し,既存のパッケージを妥協して,これらのパッケージをインストールするユーザから,または,または,それに依存する任意のパッケージを,または,それに依存するユーザから感受的データに,またはエクスフィルトレートするという,既存のパッケージを発行する,悪意のあるアクターのための主要なターゲットになった。このような攻撃に対する欠点は,ソフトウェア供給チェーンの完全性を維持するのに不可欠であるが,パッケージ更新のサーバ容積は,包括的な手動レビューを実行不可能にしている。3つの相補的技術から成る潜在的に悪意のあるパッケージを自動的に検出する機械学習ベースのアプローチであるAmalfiを提案した。悪意のあるおよび良性のパッケージの既知の事例で訓練された分類器から始めた。パッケージが分類器によって悪意として止められるならば,著者らは次に,それがそのソースリポジトリに関するメタデータを含むかどうかをチェックして,もしパッケージがそのソースコードから再現できるかどうかをチェックした。ソースから再現可能なパッケージは,通常は悪質ではなく,このステップは,偽陽性を除くことを可能にする。最後に,単純なテキストクローン検出技術を用いて,分類器によって見逃されるかもしれない悪意のあるパッケージのコピーを同定し,偽陰性の数を減少させた。アマルフィは,軽量であり,特徴を抽出し,分類器を走らせるためのパッケージ当たり数秒しか必要とせず,そして,1週間にわたって発表された96287パッケージ版でそれを実行でき,そして,誤陽性の管理可能な数で,95の以前に未知のマルウェアサンプルを同定することができた。【JST・京大機械翻訳】
