• Search Research Projects
  • Search Researchers
  • How to Use
  1. Back to previous page

Development of Software-Eco System Infrastructure Using SPDX

Research Project

Project/Area Number 23K28065
Project/Area Number (Other) 23H03375 (2023)
Research Category

Grant-in-Aid for Scientific Research (B)

Allocation TypeMulti-year Fund (2024)
Single-year Grants (2023)
Section一般
Review Section Basic Section 60050:Software-related
Research InstitutionNanzan University

Principal Investigator

井上 克郎  南山大学, 理工学部, 教授 (20168438)

Co-Investigator(Kenkyū-buntansha) 眞鍋 雄貴 (真鍋雄貴)  福知山公立大学, 情報学部, 講師 (20625339)
横森 励士  南山大学, 理工学部, 教授 (40379152)
KULA RAULA・GAIKOVINA  奈良先端科学技術大学院大学, 先端科学技術研究科, 准教授 (80749094)
神田 哲也  ノートルダム清心女子大学, 情報デザイン学部, 准教授 (90780726)
Project Period (FY) 2023-04-01 – 2027-03-31
Project Status Granted (Fiscal Year 2024)
Budget Amount *help
¥18,590,000 (Direct Cost: ¥14,300,000、Indirect Cost: ¥4,290,000)
Fiscal Year 2026: ¥4,550,000 (Direct Cost: ¥3,500,000、Indirect Cost: ¥1,050,000)
Fiscal Year 2025: ¥4,550,000 (Direct Cost: ¥3,500,000、Indirect Cost: ¥1,050,000)
Fiscal Year 2024: ¥4,550,000 (Direct Cost: ¥3,500,000、Indirect Cost: ¥1,050,000)
Fiscal Year 2023: ¥4,940,000 (Direct Cost: ¥3,800,000、Indirect Cost: ¥1,140,000)
KeywordsSPDX / SBOM / メタデータ / 依存解析 / ソフトウェアエコシステム / 依存関係分析 / Debian / 脆弱性 / 改竄検出
Outline of Research at the Start

SPDXの枠組みを用いたメタデータを設計してエコシステムを表現し、その透明性、健全性、安全性等の分析やプロダクト再構成の自動化、効率化を行うために、メタデータを用いたエコシステムの分析基盤を開発する。これによりSPDXは単なるOSSライセンスの表記の手段から、エコシステム全体の分析やプロダクト再構成の情報のための記録場所となるとともに、プロダクトの特性や他のプロダクトとの関連などの情報も可読性の高い形式で表記するメタデータとなる。また、メタデータを効率的に生成する新たな手法を考案し、その評価も試みる。

Outline of Annual Research Achievements

近年、ソフトウェアエコシステムを構成するプロダクトの安全性や健全性を検証するために、ソフトウェア部品表(SBoM)と呼ばれるメタデータを用いることが推奨され、Linux Foundationが開発したSPDXがその一実現方法として普及が進んでいる。 本研究では、様々なプロダクトの特性や関連の情報を既存の、または拡張したSPDXのフィールドとして表記する方法を開発する。また、得られたSPDX表記からエコシステムモデルを作り、その安全性や健全性を効率的に分析する方法を確立する。 さらにSPDXの表記法や分析技術の普及を図り、分析情報付きのSPDX形式のメタデータが広く普及・流通することを目指す。
本年度はまずSPDXにパッケージの依存情報を保存するための手法を開発した。対象をLinuxのDebianに限定し、当該パッケージが依存しているパッケージ情報をDebianのControlファイルから推移的に取得し、SPDXのメタ情報に変換して保存する方法を開発した。依存関係が循環している場合でもハッシュ値に矛盾がないSPDXファイルに変換するために、関連する複数ファイルをまとめてハッシュ化する方法を開発した。実際にDebianのControlファイルからSPDXファイルを作成するシステムを試作し評価を行い、正しくSPDXファイルが生成できることを確かめた。
また、SPDXに書かれている依存情報を元にして、依存先のパッケージに脆弱性に関する問題がないかを定期的にチェックするシステムを開発した。このシステムによりソフトウェアに脆弱性を含むパッケージを利用していないか、不当に改竄されていないか、また破損していないかなどを定期的に検証を行うことができるようになった。
その他、ソフトウェアエコシステムの課題整理やコードクローン作者に関する実践的な分析などの研究を行った。

Current Status of Research Progress
Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

当初目的とした、DebianのSPDXの生成ツールや脆弱性ツールの開発およびこれらの研究成果の発表は、予定通り行うことができた。
最近、SBoMは新しい版が公開され、その構成要素も変更が見られる。我々の研究に関する部分にも影響があるか、今後慎重に見極めていく必要があろう。

Strategy for Future Research Activity

SPDXの普及は進みつつあるようであるが、実際の開発者にとってはどのような課題があるかの調査を進め、その課題解決の方法を考えていく必要がある。そのための調査研究を進めていく。
このような課題の一つとして考えられるのがSPDXの読みにくさ、理解しづらさだと考えられる。そこでそれを解消するための一手段として、SPDXの要約方法を検討する。SPDXの仕様の変更や記述の自由さを考えると、機械学習を用いた柔軟な要約システムの構築が考えられる。このようなシステムの設計を行う。
SPDXは普及の兆しは見られるとはいえ、まだそのサンプルは多いとは言えない。そこで多数のソフトウェアパッケージを対象として、それらのSPDXを生成し、パッケージとそのSPDXの対のデータベースを構築して公開し、SPDXの研究の材料となるようにする。これを効率的に行うためには、SPDX生成ツールを活用して自動生成を行う。現在SPDX生成ツールは多数提案されているが、それらの違い、問題点、効率などを評価し、そのデータも公開を目指す。
その他、コードクローンの生成、更新の履歴を分析し、危険なコードクローンを認識するための手法を開発する。履歴分析のためにGitのコミット履歴を利用し、効果的な分析を行なえるようにする。

Report

(1 results)
  • 2023 Annual Research Report
  • Research Products

    (10 results)

All 2024 2023

All Journal Article (2 results) (of which Peer Reviewed: 2 results) Presentation (7 results) (of which Int'l Joint Research: 4 results,  Invited: 1 results) Book (1 results)

  • [Journal Article] Debianパッケージ間の依存関係を表すSPDXドキュメント自動生成ツールの開発2023

    • Author(s)
      田邉 傑士, 神田 哲也, 眞鍋 雄貴, 井上 克郎, 肥後 芳樹
    • Journal Title

      電子情報通信学会論文誌D, Vol.J106-D

      Volume: No.9 Pages: 457-458

    • Related Report
      2023 Annual Research Report
    • Peer Reviewed
  • [Journal Article] Javaを用いたプロジェクトおよびKotlin を用いたAndroid アプリケーションを対象としたビルド可能性調査2023

    • Author(s)
      小池 耀, 眞鍋 雄貴, 神田 哲也, 井上 克郎, 肥後 芳樹
    • Journal Title

      情報処理学会論文誌Vol.64

      Volume: No.9 Pages: 1394-1398

    • Related Report
      2023 Annual Research Report
    • Peer Reviewed
  • [Presentation] Stack OverflowにおけるSBOM利活用に関する質問の分析2024

    • Author(s)
      音田 渉, 神田 哲也, 眞鍋 雄貴, 井上 克郎, 肥後 芳樹
    • Organizer
      電子情報通信学会ソフトウェアサイエンス研究会 Vol.123, No. 414, pp.127-132.
    • Related Report
      2023 Annual Research Report
  • [Presentation] Osmy: A Tool for Periodic Software Vulnerability Assessment and File Integrity Verification using SPDX Documents2023

    • Author(s)
      Rio Kishimoto, Tetsuya Kanda, Yuki Manabe, Katsuro Inoue, Yoshiki Higo
    • Organizer
      2024 IEEE International Conference on Software Analysis, Evolution and Reengineering (SANER)
    • Related Report
      2023 Annual Research Report
    • Int'l Joint Research
  • [Presentation] SPDXドキュメントを用いた脆弱性診断とチェックサム検証を行うツール2023

    • Author(s)
      岸本 理央, 神田 哲也, 眞鍋 雄貴, 井上 克郎, 肥後 芳樹
    • Organizer
      電子情報通信学会ソフトウェアサイエンス研究会 Vol.123, No. 123, pp.43-48.
    • Related Report
      2023 Annual Research Report
  • [Presentation] An Empirical Analysis of Code Clone Authorship in Apache Projects2023

    • Author(s)
      Reishi Yokomori, Katsuro Inoue
    • Organizer
      2023 IEEE 17th International Workshop on Software Clones (IWSC) pp.1-7.
    • Related Report
      2023 Annual Research Report
    • Int'l Joint Research
  • [Presentation] Making Code Clone Detection More Handy and Instantaneous2023

    • Author(s)
      Katsuro Inoue
    • Organizer
      Keynote of the 2023 IEEE 17th International Workshop on Software Clones (IWSC)
    • Related Report
      2023 Annual Research Report
    • Int'l Joint Research / Invited
  • [Presentation] Stack Overflowと言語ドキュメントの紐づけ手法の検討2023

    • Author(s)
      鬼塚 仙太郎, 神田 哲也, 眞鍋 雄貴, 肥後 芳樹
    • Organizer
      電子情報通信学会ソフトウェアサイエンス研究会 Vol.123, no. 123, pp. 98-103.
    • Related Report
      2023 Annual Research Report
  • [Presentation] Lessons from the Long Tail: Analysing Unsafe Dependency Updates across Software Ecosystems2023

    • Author(s)
      Supatsara Wattanakriengkrai, Raula Gaikovina Kula, Christoph Treude, Kenichi Matsumoto
    • Organizer
      ACM Joint European Software Engineering Conference and Symposium on the Foundations of Software Engineering 2023, pp.2077-2081, San Francisco, California.
    • Related Report
      2023 Annual Research Report
    • Int'l Joint Research
  • [Book] Promises and Perils of Mining Software Package Ecosystem Data, in Software Ecosystems, Tooling and Analytics2023

    • Author(s)
      Raula Gaikovina Kula, Katsuro Inoue, Christoph Treude
    • Total Pages
      19
    • Publisher
      Springer
    • ISBN
      9783031360596
    • Related Report
      2023 Annual Research Report

URL: 

Published: 2023-04-18   Modified: 2024-12-25  

Information User Guide FAQ News Terms of Use Attribution of KAKENHI

Powered by NII kakenhi