Software Supply Chain Smells: Lightweight Analysis for Secure Dependency Management - 专知论文

会员服务 ·

0

软件 · 系统 · 分析 · 软件系统 · 潜在 ·

Software Supply Chain Smells: Lightweight Analysis for Secure Dependency Management

翻译：软件供应链异味：面向安全依赖管理的轻量级分析

Larissa Schmid,Diogo Gaspar,Raphina Liu,Sofia Bobadilla,Benoit Baudry,Martin Monperrus

Modern software systems heavily rely on third-party dependencies, making software supply chain security a critical concern. We introduce the concept of software supply chain smells as structural indicators that signal potential security risks. We design and evaluate Dirty-Waters, a novel tool for detecting such smells in the supply chains of software packages. Through interviews with practitioners, we show that our proposed smells align with real-world concerns and capture signals considered valuable. A quantitative study of popular packages in the Maven and NPM ecosystems reveals that while smells are prevalent in both, they differ significantly across ecosystems, with traceability and signing issues dominating in Maven and most smells being rare in NPM, due to strong registry-level guarantees. Software supply chain smells support developers and organizations in making informed decisions and improving their software supply chain security posture.

翻译：现代软件系统高度依赖第三方组件，使得软件供应链安全成为关键问题。我们提出"软件供应链异味"概念，将其作为表征潜在安全风险的结构性指标。我们设计并评估了 Dirty-Waters 这一用于检测软件包供应链中此类异味的新型工具。通过从业者访谈，我们证明了所提出的异味与真实场景中的问题相契合，且能捕获被认为有价值的信号。对 Maven 和 NPM 生态系统中流行软件包的定量研究揭示：虽然异味在两个生态系统中普遍存在，但其分布存在显著差异——Maven 中以可追溯性和签名问题为主，而 NPM 中多数异味较为罕见（得益于其注册表层面的强保障）。软件供应链异味可支持开发者和组织做出明智决策，并改善其软件供应链安全态势。

0

相关内容

软件（中国大陆及香港用语，台湾作软体，英文：Software）是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

专知会员服务

11+阅读 · 3月16日

《军事供应链分析：设计提升运作效能的信息共享系统》最新101页

《军事供应链分析：设计提升运作效能的信息共享系统》最新101页

专知会员服务

16+阅读 · 2025年7月2日

《大规模供应链中断实时管理中智能决策支持系统的弹性集成》最新295页

《大规模供应链中断实时管理中智能决策支持系统的弹性集成》最新295页

专知会员服务

18+阅读 · 2025年5月9日

《AI/ML 供应链软件依赖性风险分析》2023最新95页论文

《AI/ML 供应链软件依赖性风险分析》2023最新95页论文

专知会员服务

41+阅读 · 2023年12月19日

《使用静态污点分析检测恶意代码》CMU最新30页slides

《使用静态污点分析检测恶意代码》CMU最新30页slides

专知会员服务

22+阅读 · 2023年10月11日

复杂系统如何检测异常？北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》，阐述最新图异常检测技术进展

复杂系统如何检测异常？北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》，阐述最新图异常检测技术进展

专知会员服务

58+阅读 · 2022年6月12日

区块链在供应链管理中的应用综述

专知会员服务

21+阅读 · 2021年10月15日

恶意文档检测研究综述

专知会员服务

19+阅读 · 2021年6月10日

异质信息网络分析与应用综述，软件学报-北京邮电大学

异质信息网络分析与应用综述，软件学报-北京邮电大学

专知会员服务

64+阅读 · 2020年7月9日

【O’Reilly讲座】基于深度学习的异常检测方法用于检测大型数据集的质量：Anomaly detection using deep learning to measure the quality of large datasets

【O’Reilly讲座】基于深度学习的异常检测方法用于检测大型数据集的质量：Anomaly detection using deep learning to measure the quality of large datasets

专知会员服务

31+阅读 · 2020年1月11日

「工业物联网异常检测技术」最新2022研究综述

「工业物联网异常检测技术」最新2022研究综述

专知

12+阅读 · 2022年5月3日

异常检测（Anomaly Detection）综述

异常检测（Anomaly Detection）综述

极市平台

20+阅读 · 2020年10月24日

综述 | 异质信息网络分析与应用综述

综述 | 异质信息网络分析与应用综述

专知

27+阅读 · 2020年8月8日

异常检测论文大列表：方法、应用、综述

异常检测论文大列表：方法、应用、综述

专知

126+阅读 · 2019年7月15日

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

专知

79+阅读 · 2019年4月24日

微软重磅开源Recommenders：企业级可扩展推荐系统实践指南

微软重磅开源Recommenders：企业级可扩展推荐系统实践指南

AI前线

46+阅读 · 2019年2月25日

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

专知

137+阅读 · 2019年1月14日

【供应链】供应链的未来：自我学习的供应链

【供应链】供应链的未来：自我学习的供应链

产业智能官

14+阅读 · 2018年9月8日

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

大数据文摘

19+阅读 · 2018年4月29日

网络安全态势感知浅析

网络安全态势感知浅析

计算机与网络安全

18+阅读 · 2017年10月13日

面向用户体验的无线异构软件定义网络资源管理研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于海量软件片段比对的恶意代码检测方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

云计算环境信任链系统安全性理论研究

国家自然科学基金

0+阅读 · 2015年12月31日

天气影响下基于损失厌恶的“公司+农户”型农产品供应链风险管理研究

国家自然科学基金

1+阅读 · 2015年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

支持软件可信演化的故障定位研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于第三方的APP软件质量度量和评估方法研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于供应链的中国食品追溯体系激励与监管机制研究

国家自然科学基金

13+阅读 · 2008年12月31日

Adaptive and AI-Augmented Security Testing: A Systematic Survey of Program Analysis, Feedback-Driven Testing, and Hybrid Learning-Based Approaches

Arxiv

0+阅读 · 4月29日

A Code Smell Refactoring Approach using GNNs

Arxiv

0+阅读 · 4月19日

Emulation-based System-on-Chip Security Verification: Challenges and Opportunities

Arxiv

0+阅读 · 4月16日

AmBox: Device-to-Blockchain Ambient Sensing for Food Traceability

Arxiv

0+阅读 · 4月13日

Supply-Chain Poisoning Attacks Against LLM Coding Agent Skill Ecosystems

Arxiv

0+阅读 · 4月3日

Toward Scalable Automated Repository-Level Datasets for Software Vulnerability Detection

Arxiv

0+阅读 · 3月18日

SynthChain: A Synthetic Benchmark and Forensic Analysis of Advanced and Stealthy Software Supply Chain Attacks

Arxiv

0+阅读 · 3月17日

Mind the Gap: Evaluating LLMs for High-Level Malicious Package Detection vs. Fine-Grained Indicator Identification

Arxiv

0+阅读 · 2月28日

Detecting UX smells in Visual Studio Code using LLMs

Arxiv

0+阅读 · 2月25日

CodeCureAgent: Automatic Classification and Repair of Static Analysis Warnings

Arxiv

0+阅读 · 2月25日

VIP会员

文章信息

相关主题

最新内容

反无人机拦截器训练与运用课程：对美国陆军部队发展的启示

反无人机拦截器训练与运用课程：对美国陆军部队发展的启示

专知会员服务

4+阅读 · 今天8:00

重新思考无人机时代的生存能力

重新思考无人机时代的生存能力

专知会员服务

2+阅读 · 今天7:44

装甲突击旅：现代战争思考、战斗与组织

装甲突击旅：现代战争思考、战斗与组织

专知会员服务

2+阅读 · 今天7:28

在人工智能加速决策环境中拓展OODA循环

在人工智能加速决策环境中拓展OODA循环

专知会员服务

3+阅读 · 今天7:18

《廉价自杀式无人机战争的军事战略影响：乌克兰与伊朗案例研究》

《廉价自杀式无人机战争的军事战略影响：乌克兰与伊朗案例研究》

专知会员服务

4+阅读 · 今天7:07

军事欺骗：供作战战术指挥官使用的工具

军事欺骗：供作战战术指挥官使用的工具

专知会员服务

3+阅读 · 今天7:03

ICML 2026 | CFPO：用反事实策略优化提升多模态推理

ICML 2026 | CFPO：用反事实策略优化提升多模态推理

专知会员服务

4+阅读 · 6月23日

综述 | 世界动作模型：少做梦，多行动

综述 | 世界动作模型：少做梦，多行动

专知会员服务

5+阅读 · 6月23日

美以伊冲突：无人机与人工智能的运用

美以伊冲突：无人机与人工智能的运用

专知会员服务

10+阅读 · 6月23日

《战时图神经网络：整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献

《战时图神经网络：整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献

专知会员服务

4+阅读 · 6月23日

《特种部队在透明战场中的生存力》最新报告

《特种部队在透明战场中的生存力》最新报告

专知会员服务

5+阅读 · 6月23日

《自主无人机蜂群协同与控制系统：人工智能赋能的战场协同与自主任务编排平台》

《自主无人机蜂群协同与控制系统：人工智能赋能的战场协同与自主任务编排平台》

专知会员服务

8+阅读 · 6月23日

《人工智能生成的零日漏洞：对未来作战的影响》

《人工智能生成的零日漏洞：对未来作战的影响》

专知会员服务

7+阅读 · 6月23日

《理解伙伴国在防务能力选择中的偏好：探索美国解决方案的替代选择》美智库200页报告

《理解伙伴国在防务能力选择中的偏好：探索美国解决方案的替代选择》美智库200页报告

专知会员服务

4+阅读 · 6月23日

ICML 2026 | 边界嵌入塑形：用自适应对比学习破解图结构纠缠

ICML 2026 | 边界嵌入塑形：用自适应对比学习破解图结构纠缠

专知会员服务

6+阅读 · 6月22日

相关VIP内容

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

专知会员服务

11+阅读 · 3月16日

《军事供应链分析：设计提升运作效能的信息共享系统》最新101页

《军事供应链分析：设计提升运作效能的信息共享系统》最新101页

专知会员服务

16+阅读 · 2025年7月2日

《大规模供应链中断实时管理中智能决策支持系统的弹性集成》最新295页

《大规模供应链中断实时管理中智能决策支持系统的弹性集成》最新295页

专知会员服务

18+阅读 · 2025年5月9日

《AI/ML 供应链软件依赖性风险分析》2023最新95页论文

《AI/ML 供应链软件依赖性风险分析》2023最新95页论文

专知会员服务

41+阅读 · 2023年12月19日

《使用静态污点分析检测恶意代码》CMU最新30页slides

《使用静态污点分析检测恶意代码》CMU最新30页slides

专知会员服务

22+阅读 · 2023年10月11日

复杂系统如何检测异常？北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》，阐述最新图异常检测技术进展

复杂系统如何检测异常？北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》，阐述最新图异常检测技术进展

专知会员服务

58+阅读 · 2022年6月12日

区块链在供应链管理中的应用综述

专知会员服务

21+阅读 · 2021年10月15日

恶意文档检测研究综述

专知会员服务

19+阅读 · 2021年6月10日

异质信息网络分析与应用综述，软件学报-北京邮电大学

异质信息网络分析与应用综述，软件学报-北京邮电大学

专知会员服务

64+阅读 · 2020年7月9日

【O’Reilly讲座】基于深度学习的异常检测方法用于检测大型数据集的质量：Anomaly detection using deep learning to measure the quality of large datasets

【O’Reilly讲座】基于深度学习的异常检测方法用于检测大型数据集的质量：Anomaly detection using deep learning to measure the quality of large datasets

专知会员服务

31+阅读 · 2020年1月11日

热门VIP内容

开通专知VIP会员享更多权益服务

重新思考无人机时代的生存能力

在人工智能加速决策环境中拓展OODA循环

反无人机拦截器训练与运用课程：对美国陆军部队发展的启示

装甲突击旅：现代战争思考、战斗与组织

相关资讯

「工业物联网异常检测技术」最新2022研究综述

「工业物联网异常检测技术」最新2022研究综述

专知

12+阅读 · 2022年5月3日

异常检测（Anomaly Detection）综述

异常检测（Anomaly Detection）综述

极市平台

20+阅读 · 2020年10月24日

综述 | 异质信息网络分析与应用综述

综述 | 异质信息网络分析与应用综述

专知

27+阅读 · 2020年8月8日

异常检测论文大列表：方法、应用、综述

异常检测论文大列表：方法、应用、综述

专知

126+阅读 · 2019年7月15日

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

专知

79+阅读 · 2019年4月24日

微软重磅开源Recommenders：企业级可扩展推荐系统实践指南

微软重磅开源Recommenders：企业级可扩展推荐系统实践指南

AI前线

46+阅读 · 2019年2月25日

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

专知

137+阅读 · 2019年1月14日

【供应链】供应链的未来：自我学习的供应链

【供应链】供应链的未来：自我学习的供应链

产业智能官

14+阅读 · 2018年9月8日

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

大数据文摘

19+阅读 · 2018年4月29日

网络安全态势感知浅析

网络安全态势感知浅析

计算机与网络安全

18+阅读 · 2017年10月13日

相关论文

Adaptive and AI-Augmented Security Testing: A Systematic Survey of Program Analysis, Feedback-Driven Testing, and Hybrid Learning-Based Approaches

Arxiv

0+阅读 · 4月29日

A Code Smell Refactoring Approach using GNNs

Arxiv

0+阅读 · 4月19日

Emulation-based System-on-Chip Security Verification: Challenges and Opportunities

Arxiv

0+阅读 · 4月16日

AmBox: Device-to-Blockchain Ambient Sensing for Food Traceability

Arxiv

0+阅读 · 4月13日

Supply-Chain Poisoning Attacks Against LLM Coding Agent Skill Ecosystems

Arxiv

0+阅读 · 4月3日

Toward Scalable Automated Repository-Level Datasets for Software Vulnerability Detection

Arxiv

0+阅读 · 3月18日

SynthChain: A Synthetic Benchmark and Forensic Analysis of Advanced and Stealthy Software Supply Chain Attacks

Arxiv

0+阅读 · 3月17日

Mind the Gap: Evaluating LLMs for High-Level Malicious Package Detection vs. Fine-Grained Indicator Identification

Arxiv

0+阅读 · 2月28日

Detecting UX smells in Visual Studio Code using LLMs

Arxiv

0+阅读 · 2月25日

CodeCureAgent: Automatic Classification and Repair of Static Analysis Warnings

Arxiv

0+阅读 · 2月25日

相关基金

面向用户体验的无线异构软件定义网络资源管理研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于海量软件片段比对的恶意代码检测方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

云计算环境信任链系统安全性理论研究

国家自然科学基金

0+阅读 · 2015年12月31日

天气影响下基于损失厌恶的“公司+农户”型农产品供应链风险管理研究

国家自然科学基金

1+阅读 · 2015年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

支持软件可信演化的故障定位研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于第三方的APP软件质量度量和评估方法研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于供应链的中国食品追溯体系激励与监管机制研究

国家自然科学基金

13+阅读 · 2008年12月31日

微信扫码咨询专知VIP会员