5K-01
ソフトウェアエコシステムにおけるSemVer準拠と脆弱性の関係
○川口友也,村上晴美(大阪公立大)
ソフトウェアエコシステムは数多くのパッケージの依存関係によって構成されており、これが「依存性地獄」と呼ばれる問題を起こすと同時に、脆弱性の問題も複雑にしている。本研究では、npmとRubyGemsのエコシステムにおけるSemVer準拠とパッケージの脆弱性との関係を分析する。特に、依存関係制約の寛容さが脆弱性にどのように影響するかに焦点を当て、SemVer準拠カテゴリに基づく分析を行う。結果から、本番リリースにおいてはSemVerへの準拠が脆弱性の軽減に効果があるが、初期開発リリースでは効果がないことを確認した。脆弱性の観点からは、初期開発リリースのSemVer規約が厳しすぎることが示唆された。