2025-04-14-2025-04-20论文阅读周报
Software Supply Chain Risk: Characterization, Measurement & Attenuation
{2024}, {Butler A.}, {ASE}
Butler A. Software Supply Chain Risk: Characterization, Measurement & Attenuation[C]//Proceedings of the 39th IEEE/ACM International Conference on Automated Software Engineering. 2024: 2506-2509.
Key Points
跨项目调用图
关键点,看文章途中觉得很关键的词可以填写在此处
Summary
- 写完笔记之后最后填,概述文章的内容,以后查阅笔记的时候先看这一段。注:写文章summary切记需要通过自己的思考,用自己的语言描述。忌讳直接Ctrl + c原文。
Research Objective(s)
- 作者的研究目标是什么?
Background / Problem Statement
- 研究的背景以及问题陈述:作者需要解决的问题是什么?
Method(s)
- 作者解决问题的方法/算法是什么?
- 是否基于前人的方法?基于了哪些?
Evaluation
setup:
| 软硬件环境 | |
|---|---|
| CPU | R74800H |
| 操作系统 | Windows 10 |
| Python | 3.7 |
| Crypto++ | 8.5 |
| Visual Studio | 2019 |
| Tensorflow | 2.0 |
| SKLearn | 0.24.1 |
- 作者如何评估自己的方法?
- 数据集、基线模型
- 实验的setup(实验环境、配置)是什么样的?
- 感兴趣实验数据和结果有哪些?
- 有没有问题或者可以借鉴的地方?
Conclusion
- 作者给出了哪些结论?
- 哪些是strong conclusions, 哪些又是weak的conclusions(即作者并没有通过实验提供evidence,只在discussion中提到;或实验的数据并没有给出充分的evidence)?
Thought(s)
本文列举出了一个存在的问题:
假设新引入的依赖项(软件包A)依赖于另一个包含漏洞方法的软件包B,但该漏洞方法未被软件包A实际使用。基于现有安全指标,软件包B会被判定为存在漏洞,进而因为A依赖B,导致A同样被归类为不安全,从而阻碍对软件包A的采用。
对这篇文章的疑问和思考
可参考的研究方向,即本文的展望或不足
Notes
- (Optional) 不在以上列表中,但需要特别记录的笔记。
References
- (Optional) 列出相关性高的文献,以便之后可以继续track下去。
Joseph Hejderup, Arie van Deursen, and Georgios Gousios. 2018. Software ecosystem call graph for dependency management. In Proceedings of the 40th International Conference on Software Engineering: New Ideas and Emerging Results (Gothenburg, Sweden) (ICSE-NIER ’18). Association for Computing Machinery, New York, NY, USA, 101–104. https://doi.org/10.1145/3183399.3183417
Hejderup, J., Beller, M., Triantafyllou, K. et al. Präzi: from package-based to call-based dependency networks. Empir Software Eng 27, 102 (2022). https://doi.org/10.1007/s10664-021-10071-9
Patrick Morrison, David Moye, Rahul Pandita, and Laurie Williams. 2018. Mapping the field of software life cycle security metrics. Information and Software Technology 102 (2018), 146–159. https://doi.org/10.1016/j.infsof.2018.05.011
Ying Wang, Peng Sun, Lin Pei, Yue Yu, Chang Xu, Shing-Chi Cheung, Hai Yu, and Zhiliang Zhu. 2023. Plumber: Boosting the Propagation of Vulnerability Fixes in the npm Ecosystem. IEEE Transactions on Software Engineering 49, 5 (2023), 3155–3181. https://doi.org/10.1109/TSE.2023.3243262
