摘要
互联网档案。 2023.回送机。 https://web.archive.org 谷歌学者 
Szele Balint。 2009年,小文件问题。 https://blog.cloudera.com/the-small-files-问题/ 谷歌学者 Sruthi Bandhakavi、Nandit Tiku、Wyatt Pittman、Samuel T.King、P.Madhusudan和Marianne Winslett。 2011.使用VEX检查浏览器扩展的安全漏洞。 Commun公司。 ACM,54,9(2011),9月91–99日。 编号:0001-0782 https://doi.org/10.1145/1995376.1995398 谷歌学者 数字图书馆 
佩蒂亚·布奇科娃、约阿金·希·欣内尔斯科夫、卡斯珀·奥尔森和罗尔夫·赫尔赫·普菲弗。 2022.DaSEA:软件生态系统分析的数据集。 第19届国际采矿软件库会议论文集(MSR’22)。 计算机械协会,美国纽约州纽约市388–392。 编号:9781450393034 https://doi.org/10.1145/3524842.3528004 谷歌学者 数字图书馆 Bodin Chinthanet、Raula Gaikovina Kula、Shane McIntosh、Takashi Ishio、Akinori Ihara和Kenichi Matsumoto。 2021.npm漏洞修复的发布、采用和传播滞后。 经验软件工程,26,3(2021),3月30日,47。 发行编号:1573-7616 https://doi.org/10.1007/s10664-021-09951-x 谷歌学者 数字图书馆 埃里克·德比尔(Erik DeBill),2023年。 模块计数。 http://www.modulecounts.com 谷歌学者 亚历山大·迪肯(Alexandre Decan)、汤姆·门斯(Tom Mens)和埃列尼·康斯坦蒂诺(Eleni Constantinou)。 2018年,《关于Npm包依赖网络中安全漏洞的影响》,第15届挖掘软件库国际会议论文集(MSR’18)。 美国纽约州纽约市计算机协会181–191。 编号:9781450357166 https://doi.org/10.1145/3196398.3196401 谷歌学者 数字图书馆 Asger Feldthaus、Max Schäfer、Manu Sridharan、Julian Dolby和Frank Tip。 2013.高效构建JavaScript IDE服务的近似调用图。 2013年,第35届国际软件工程会议(ICSE)。 752–761. https://doi.org/10.109/ICSE.2013.6606621 谷歌学者 交叉引用 
Apache软件基金会。 2023.阿帕奇Hadoop。 https://hadoop.apache.org 谷歌学者 Jesus M.Gonzalez-Barahona、Paul Sherwood、Gregorio Robles和Daniel Izquierdo。 2017.软件编译中的技术滞后:衡量软件部署的过时程度。《开源系统:走向稳健实践》,Federico Balaguer、Roberto Di Cosmo、Alejandra Garrido、Fabio Kon、Gregorio Robles和Stefano Zacchiroli(编辑)。 施普林格国际出版公司,Cham。 182–192. 国际标准编号:978-3-319-57735-7 https://doi.org/10.1007/978-3-319-57735-7_17 谷歌学者 交叉引用 Georgios Gousios和Diomidis Spinellis。 2012年,GHTorrent:Github的消防水龙带数据。 2012年IEEE第九届挖掘软件库工作会议(MSR)。 12–21. https://doi.org/10.109/MSR.2012.6224294 谷歌学者 交叉引用 Salvatore Guanieri、Marco Pistoia、Omer Tripp、Julian Dolby、Stephen Teilhet和Ryan Berg,2011年。 从易受攻击的JavaScript中保存万维网。 2011年软件测试与分析国际研讨会(ISSTA’11)论文集。 美国纽约计算机械协会177–187。 编号:9781450305624 https://doi.org/10.1145/2001420.2001442 谷歌学者 数字图书馆 软件遗产。 2023.软件遗产。 https://www.softwareheritage.org 谷歌学者 David Kavaler、Asher Trockman、Bogdan Vasilescu和Vladimir Filkov。 2019.工具选择至关重要:GitHub项目中的JavaScript质量保证工具和使用结果。 2019年IEEE/ACM第41届国际软件工程会议(ICSE)。 476–487. https://doi.org/10.109/ICSE.2019.00060 谷歌学者 数字图书馆 丹尼斯·科切科夫(Denis Kocetkov)、雷蒙德·李(Raymond Li)、卢布娜·本·阿拉尔(Loubna Ben Allal)、贾丽(Jia Li),牟成浩(Chenghao Mou)、卡洛斯·穆尼奥斯·费兰迪斯(Carlos Muñoz Ferrandis)、亚辛·杰妮特(Yacine Jernite)、玛格丽特·米切尔(Margaret Mitchell。 2022.堆栈:3 TB许可的源代码。 https://doi.org/10.48550/arXiv.2211.15533 arxiv:2211.15533。 谷歌学者 交叉引用 Raula Gaikovina Kula、Ali Ouni、Daniel M.German和Katsuro Inoue。 2017.关于微包的影响:npm JavaScript生态系统的实证研究。 https://doi.org/10.48550/ARXIV.1709.04638 谷歌学者 交叉引用 马玉星、塔帕吉特·戴伊、克里斯·鲍嘉、萨迪卡·阿姆林、马拉特·瓦利耶夫、亚当·图特科、大卫·肯纳德、拉塞尔·扎勒茨基和奥德里斯·莫库斯。 2021.代码世界:支持挖掘和分析开源VCS数据的研究工作流。 经验软。 工程师。, 26,2(2021年),3月,42页。 发行编号:1382-3256 https://doi.org/10.1007/s10664-020-09905-9 谷歌学者 数字图书馆 马格努斯·马德森(Magnus Madsen)、本杰明·利夫希茨(Benjamin Livshits)和迈克尔·范宁(Michael Fanning)。 2013.框架和库中JavaScript应用程序的实际静态分析。 在2013年第九届软件工程基础联合会议(ESEC/FSE 2013)的会议记录中。 美国纽约州纽约市计算机机械协会499–509。 编号:9781450322379 https://doi.org/10.1145/2491411.2491417 谷歌学者 数字图书馆 Gianluca Mezzetti、Anders Møller和Martin Toldam Torp。 2018年,类型回归测试检测Node.js库中的破坏性更改。 109 (2018), 7:1–7:24. 国际证券编号:978-3-95977-079-8发行编号:1868-8969 https://doi.org/10.4230/LIPIcs.ECOOP.2018.7 谷歌学者 交叉引用 安德斯·莫勒、本杰明·巴斯列夫·尼尔森和马丁·托尔达姆·托普。 2020年。检测受中断库更改影响的JavaScript程序中的位置。 程序。 ACM计划。 Lang.,4,OOPSLA(2020),第187条,11月,25页。 https://doi.org/10.1145/3428255 谷歌学者 数字图书馆 本杰明·巴斯列夫·尼尔森(Benjamin Barslev Nielsen)、马丁·托尔达姆·托普(Martin Toldam Torp)和安德斯·默勒(Anders Moller)。 2021.用于节点安全扫描的模块化调用图构建。 Js应用。 第30届ACM SIGSOFT国际软件测试与分析研讨会(ISSTA 2021)会议记录。 美国纽约州纽约市计算机协会29–41。 编号:9781450384599 https://doi.org/10.1145/3460319.3464836 谷歌学者 数字图书馆 净现值法。 semver(1)–npm的语义版本管理器。 https://github.com/npm/node-semver网站 谷歌学者 NPM和贡献者。 2022.包下载计数。 https://github.com/npm/registry/blob/1c794110badd54b9d9fb08e7489746b6089c6648/docs/download-counts.md 谷歌学者 NPM和贡献者。 2023年。注册-免费-免费。 https://github.com/npm/registry-follower-tutorial 谷歌学者 Marc Ohm、Felix Boes、Christian Bungartz和Michael Meier。 2022.关于监控机器学习检测恶意软件包的可行性。 第17届可用性、可靠性和安全性国际会议记录(ARES’22)。 美国纽约州纽约市计算机协会第127条,共10页。 编号:9781450396707 https://doi.org/10.1145/3538969.3544415 谷歌学者 数字图书馆 D.Pinckney、F.Cassano、A.Guha和J.Bell。 2023.NPM中语义版本化的大规模分析。 2023年,IEEE/ACM第20届国际采矿软件库会议(MSR)。 IEEE计算机学会,美国加利福尼亚州洛斯阿拉米托斯,485-497。 https://doi.org/10.1109/MSR59073.2023.00073 谷歌学者 交叉引用 唐纳德·平克尼、费德里科·卡萨诺、阿琼·古哈、乔纳森·贝尔、马西米利亚诺·卡尔波和托德·甘布林。 2023.通过Max SMT实现灵活和优化的依赖关系管理。 第45届软件工程国际会议论文集(ICSE'23)。 IEEE出版社,1418-1429年。 国际标准编号:9781665457019 https://doi.org/10.109/ICSE48619.2023.00124 谷歌学者 数字图书馆 Serena Elisa Ponta、Henrik Plate和Antonino Sabetta。 2020年。检测、评估和缓解开源依赖性中的漏洞。 经验软件工程,25,5(2020),3175-3215年9月1日。 发行编号:1573-7616 https://doi.org/10.1007/s10664-020-09830-x 谷歌学者 数字图书馆 S.Raemaekers、A.van Deursen和J.Visser。 2014.语义版本化与破坏性更改:Maven知识库研究。 2014年,IEEE第14届国际源代码分析与处理工作会议(SCAM)。 IEEE计算机学会,美国加利福尼亚州洛斯阿拉米托斯,215–224。 https://doi.org/10.109/SCAM.2014.30 谷歌学者 数字图书馆 Gregor Richards、Sylvain Lebresne、Brian Burg和Jan Vitek。 2010年,JavaScript程序动态行为分析。 第31届ACM SIGPLAN编程语言设计与实现会议记录(PLDI’10)。 美国纽约州纽约市计算机协会1–12。 编号:9781450300193 https://doi.org/10.1145/1806596.1806598 谷歌学者 数字图书馆 SchedMD和贡献者。 2023.Slurm工作量管理器-文档。 https://slurm.schedmd.com 谷歌学者 Adriana Sejfia和Max Schäfer。 2022.恶意Npm包的实用自动检测。 第44届国际软件工程会议(ICSE’22)论文集。 计算机协会,1681-1692年。 编号:9781450392211 https://doi.org/10.1145/3510003.3510104 谷歌学者 数字图书馆 克里斯蒂安·阿莱克山德鲁·斯塔伊库和迈克尔·普拉德尔。 2018.冻结Web:基于Javascript的Web服务器中ReDoS漏洞的研究。 第27届USENIX安全研讨会(SEC’18)会议记录。 USENIX协会,美国361–376。 国际标准编号:9781931971461 谷歌学者 PostgreSQL全球开发小组。 2023.PostgreSQL:世界上最先进的开源关系数据库。 https://www.postgresql.org 谷歌学者 Inc Tidelift公司。 2023.图书馆.io——开源发现服务。 https://librarys.io 谷歌学者 克里斯汀·费约拉·托马斯多蒂尔(Kristín Fjóla Tómasdóttir)、毛里西奥·安尼切(Maurício Aniche)和阿里·范·德森(Arie Van Deursen)。 2020年,JavaScript Linters在实践中的采用:ESLint的案例研究。 IEEE软件工程学报,46,8(2020),863–891。 https://doi.org/10.109/TSE.2018.2871058 谷歌学者 交叉引用 埃里克·维特恩(Erik Wittern)、菲利普·苏特(Philippe Suter)和施里拉姆·拉贾戈帕兰(Shriram Rajagopalan)。 2016年,JavaScript包生态系统动态概览。 第13届国际采矿软件库会议记录(MSR’16)。 美国纽约计算机械协会351–361。 编号:9781450341868 https://doi.org/10.1145/2901739.2901743 谷歌学者 数字图书馆 Nusrat Zahan、Thomas Zimmermann、Patrice Godefroid、Brendan Murphy、Chandra Maddila和Laurie Williams。 2022.Npm供应链中的薄弱环节是什么? 第44届国际软件工程会议论文集:软件工程实践(ICSE-SEIP’22)。 计算机械协会,美国纽约州纽约市331–340。 编号:9781450392266 https://doi.org/10.1145/3510457.3513044 谷歌学者 数字图书馆 马库斯·齐默尔曼(Markus Zimmermann)、克里斯蒂安·阿莱克桑德鲁·斯塔伊库(Cristian-Alexandru Staicu)、坎·坦尼(Cam Tenny)和迈克尔·普拉德尔(Michael Pradel)。 2019.高风险小世界:Npm生态系统安全威胁研究。 第28届USENIX安全研讨会(SEC’19)会议记录。 USENIX协会,美国995–1010。 编号:9781939133069 谷歌学者
建议
检测恶意npm包中注入的可行性 ARES’22:第17届可用性、可靠性和安全性国际会议记录 开放源代码包通常在源代码存储库(例如,在GitHub上)上有可用的源代码,但开发人员更喜欢直接从包存储库中使用预先构建的工件(例如npm for JavaScript)。 在源代码之间。。。 为什么开发人员使用琐碎的包? npm实证案例研究 ESEC/FSE 2017:2017年第11次软件工程基础联席会议记录 代码重用传统上被视为良好实践。 最近的趋势将代码重用的概念推向了极致,使用实现简单而琐碎任务的包,我们称之为“琐碎包”。 最近发生的一起事件,一个微不足道的包裹。。。 帮助还是不帮助? 为什么以及琐碎的包如何影响 净现值法 生态系统 摘要 开发人员通常通过打包代码片段并通过软件包将其提供给其他人来共享代码片段。 一个包裹的作用有多大,它有多大可以被看作是积极的或消极的。 最近的研究表明,许多软件包。。。
