ESEC

链条末尾的NPM软件包的初始分析

[3]基思·柯林斯（Keith Collins）。2016。一个程序员如何通过删除一小部分代码来打破互联网。https://qz.com/646467/how-ono-programmer-broke-the-internet-by-deleting-a- a-a-a-a-a-piece-a-piece-of-of-of-of-of [4] dalerka。 2020。 [病毒报告] -Clamtk在这个非常受欢迎的软件包中发现了“ pua.win.trojan.xord -1”。 https://github.com/jensyt/imurmurhash-js/issues/1 [5] Alexandre Decan，Tom Mens和Eleni Constantinou。 2018。 关于安全漏洞在NPM软件包依赖网络中的影响。 在MSR中。 ACM，纽约，纽约，美国，181-191。 [6]开源安全基金会。 2024。 alpha-Omega。 https://github.com/ossf/alpha-omega [7] Antonios Gkortzis，Daniel Feitosa和Diomidis Spinellis。 2019。 一把双刃剑？ 软件重用和潜在的安全漏洞。 在大数据时代的再利用中：第18届软件和系统重用国际会议，ICSR 2019，俄亥俄州辛辛那提，俄亥俄州，美国，2019年6月26日至28日，会议记录18。 Springer，187–203。 [8] Raula Gaikovina Kula，Ali Ouni，Daniel M German和Katsuro Inoue。 2017。 对微包的影响：NPM JavaScript生态系统的实证研究。 Arxiv预印ARXIV：1709.04638（2017）。 [9] Raula Gaikovina Kula和Christoph Treude。 2022。 战争与和平：世界政治对软件生态系统的影响。 在esec/fse中。 1600–1604。 [10] Wayne C Lim。 1994。 对质量，生产力和经济学的重复使用影响。 2024。https://qz.com/646467/how-ono-programmer-broke-the-internet-by-deleting-a- a-a-a-a-a-piece-a-piece-of-of-of-of-of [4] dalerka。2020。[病毒报告] -Clamtk在这个非常受欢迎的软件包中发现了“ pua.win.trojan.xord -1”。https://github.com/jensyt/imurmurhash-js/issues/1 [5] Alexandre Decan，Tom Mens和Eleni Constantinou。2018。关于安全漏洞在NPM软件包依赖网络中的影响。在MSR中。ACM，纽约，纽约，美国，181-191。 [6]开源安全基金会。 2024。 alpha-Omega。 https://github.com/ossf/alpha-omega [7] Antonios Gkortzis，Daniel Feitosa和Diomidis Spinellis。 2019。 一把双刃剑？ 软件重用和潜在的安全漏洞。 在大数据时代的再利用中：第18届软件和系统重用国际会议，ICSR 2019，俄亥俄州辛辛那提，俄亥俄州，美国，2019年6月26日至28日，会议记录18。 Springer，187–203。 [8] Raula Gaikovina Kula，Ali Ouni，Daniel M German和Katsuro Inoue。 2017。 对微包的影响：NPM JavaScript生态系统的实证研究。 Arxiv预印ARXIV：1709.04638（2017）。 [9] Raula Gaikovina Kula和Christoph Treude。 2022。 战争与和平：世界政治对软件生态系统的影响。 在esec/fse中。 1600–1604。 [10] Wayne C Lim。 1994。 对质量，生产力和经济学的重复使用影响。 2024。ACM，纽约，纽约，美国，181-191。[6]开源安全基金会。2024。alpha-Omega。https://github.com/ossf/alpha-omega [7] Antonios Gkortzis，Daniel Feitosa和Diomidis Spinellis。 2019。 一把双刃剑？ 软件重用和潜在的安全漏洞。 在大数据时代的再利用中：第18届软件和系统重用国际会议，ICSR 2019，俄亥俄州辛辛那提，俄亥俄州，美国，2019年6月26日至28日，会议记录18。 Springer，187–203。 [8] Raula Gaikovina Kula，Ali Ouni，Daniel M German和Katsuro Inoue。 2017。 对微包的影响：NPM JavaScript生态系统的实证研究。 Arxiv预印ARXIV：1709.04638（2017）。 [9] Raula Gaikovina Kula和Christoph Treude。 2022。 战争与和平：世界政治对软件生态系统的影响。 在esec/fse中。 1600–1604。 [10] Wayne C Lim。 1994。 对质量，生产力和经济学的重复使用影响。 2024。https://github.com/ossf/alpha-omega [7] Antonios Gkortzis，Daniel Feitosa和Diomidis Spinellis。2019。一把双刃剑？软件重用和潜在的安全漏洞。在大数据时代的再利用中：第18届软件和系统重用国际会议，ICSR 2019，俄亥俄州辛辛那提，俄亥俄州，美国，2019年6月26日至28日，会议记录18。Springer，187–203。[8] Raula Gaikovina Kula，Ali Ouni，Daniel M German和Katsuro Inoue。2017。对微包的影响：NPM JavaScript生态系统的实证研究。Arxiv预印ARXIV：1709.04638（2017）。[9] Raula Gaikovina Kula和Christoph Treude。2022。战争与和平：世界政治对软件生态系统的影响。在esec/fse中。1600–1604。[10] Wayne C Lim。1994。对质量，生产力和经济学的重复使用影响。2024。IEEE软件11，5（1994），23–30。 [11] Xing Han Lu。 BM25用于Python：在用BM25s简化依赖性的同时，达到高性能。 https://huggingface.co/blog/xhluca/bm25s [12] sindresorhus。 2018。 路线图的想法。 https://github.com/chalk/chalk/issues/300 [13] sindresorhus.2021。 捆绑依赖项·粉笔/粉笔@04fdbd6。 https://github.com/chalk/chalk/commit/04fdbd6d8d262ed8668cf3f2e94f647d2bc028d8 [14] Snyk。 2024。MS漏洞。 https://security.snyk.io/package/npm/ms [15] Snyk。 2024。打字稿漏洞。 https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。 [n。 d。]。 node.js - NPM PackageManager的简介。 https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。 2022。 请合并拉的请求。 https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai，Dong Wang，Raula Gaikovina Kula Kula，Christoph Treude，Patanamon Thongtanunam，Takashi Ishio Ishio和Kenichi Mat-sumoto。 2022。 回馈：与软件生态系统中库依赖性更改一致的贡献。 IEEE软件工程交易49，4（2022），2566–2579。 [19] yfrytchsgd。 2021。 github -yfrytchsgd/log4jattacksurface。 https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann，Cristian-Alexandru Staicu，Cam Tenny和Michael Pradel。 2019。 在第28届USENIX安全研讨会（USENIX SECurity 19）中。IEEE软件11，5（1994），23–30。[11] Xing Han Lu。BM25用于Python：在用BM25s简化依赖性的同时，达到高性能。https://huggingface.co/blog/xhluca/bm25s [12] sindresorhus。2018。路线图的想法。https://github.com/chalk/chalk/issues/300 [13] sindresorhus.2021。 捆绑依赖项·粉笔/粉笔@04fdbd6。 https://github.com/chalk/chalk/commit/04fdbd6d8d262ed8668cf3f2e94f647d2bc028d8 [14] Snyk。 2024。MS漏洞。 https://security.snyk.io/package/npm/ms [15] Snyk。 2024。打字稿漏洞。 https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。 [n。 d。]。 node.js - NPM PackageManager的简介。 https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。 2022。 请合并拉的请求。 https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai，Dong Wang，Raula Gaikovina Kula Kula，Christoph Treude，Patanamon Thongtanunam，Takashi Ishio Ishio和Kenichi Mat-sumoto。 2022。 回馈：与软件生态系统中库依赖性更改一致的贡献。 IEEE软件工程交易49，4（2022），2566–2579。 [19] yfrytchsgd。 2021。 github -yfrytchsgd/log4jattacksurface。 https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann，Cristian-Alexandru Staicu，Cam Tenny和Michael Pradel。 2019。 在第28届USENIX安全研讨会（USENIX SECurity 19）中。https://github.com/chalk/chalk/issues/300 [13] sindresorhus.2021。捆绑依赖项·粉笔/粉笔@04fdbd6。https://github.com/chalk/chalk/commit/04fdbd6d8d262ed8668cf3f2e94f647d2bc028d8 [14] Snyk。2024。MS漏洞。https://security.snyk.io/package/npm/ms [15] Snyk。 2024。打字稿漏洞。 https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。 [n。 d。]。 node.js - NPM PackageManager的简介。 https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。 2022。 请合并拉的请求。 https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai，Dong Wang，Raula Gaikovina Kula Kula，Christoph Treude，Patanamon Thongtanunam，Takashi Ishio Ishio和Kenichi Mat-sumoto。 2022。 回馈：与软件生态系统中库依赖性更改一致的贡献。 IEEE软件工程交易49，4（2022），2566–2579。 [19] yfrytchsgd。 2021。 github -yfrytchsgd/log4jattacksurface。 https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann，Cristian-Alexandru Staicu，Cam Tenny和Michael Pradel。 2019。 在第28届USENIX安全研讨会（USENIX SECurity 19）中。https://security.snyk.io/package/npm/ms [15] Snyk。2024。打字稿漏洞。https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。[n。 d。]。node.js - NPM PackageManager的简介。https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。2022。请合并拉的请求。https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai，Dong Wang，Raula Gaikovina Kula Kula，Christoph Treude，Patanamon Thongtanunam，Takashi Ishio Ishio和Kenichi Mat-sumoto。2022。回馈：与软件生态系统中库依赖性更改一致的贡献。IEEE软件工程交易49，4（2022），2566–2579。[19] yfrytchsgd。2021。github -yfrytchsgd/log4jattacksurface。https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann，Cristian-Alexandru Staicu，Cam Tenny和Michael Pradel。2019。在第28届USENIX安全研讨会（USENIX SECurity 19）中。具有高风险的小世界：对NPM生态系统中安全威胁的研究。995–1010。