Flexible and Optimal Dependency Management via Max-SMT

已于 2023-04-11 10:27:27 修改
阅读量480 收藏
点赞数
分类专栏: 其他 文章标签: 经验分享
于 2023-04-11 10:26:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/matafeiyanll/article/details/130077836
版权

Flexible and Optimal Dependency Management via Max-SMT

Basic Information:

  • Title: Flexible and Optimal Dependency Management via Max-SMT (通过Max-SMT实现灵活和最佳依赖管理)
  • Authors: Donald Pinckney, Federico Cassano, Arjun Guha, Jon Bell, Massimiliano Culpo, Todd Gamblin
  • Affiliation: Northeastern University, Boston, MA, USA (作者Donald Pinckney, Federico Cassano, Arjun Guha, Jon Bell所在的机构为美国马萨诸塞州波士顿东北大学)
  • Keywords: dependency management, optimization, package manager (依赖管理、优化、包管理器)
  • Urls: https://dl.acm.org/doi/pdf/10.1145/3415506.3420079, Github:None
  • Repo: https://github.com/donald-pinckney/pacsolve

Summary:

  • a. background:

    • PACSOLVE和MAXNPM是旨在解决NPM依赖性解析器的一些限制的新工具。虽然NPM是软件开发的重要工具,但它具有一些缺点,使得开发人员难以实现其目标。

  • b. past methods and problems:

    • NPM使用的贪心算法可能会导致重复依赖和膨胀的代码,对于需要最小化代码大小的Web应用程序来说尤其糟糕。 此外,NPM的漏洞修复算法也是贪心的,甚至可能引入新的漏洞,并且NPM的复制依赖能够破坏有状态框架,需要大量解决方法。

  • c. methodology

    • PACSOLVE通过一个高级DSL来规定包版本、版本约束、优化目标等的语法和语义,并使用一个基于求解器的语言来生成Max-SMT 求解器的问题,确保与NPM的贪心方法进行比较的最优解。

  • d. task and performance

    • 通过一个多目标优化的依赖性解析实验,MAXNPM通常优于NPM和特定工具,从而在33% 的情况下减少依赖中的漏洞,在14% 的情况下选择更新的依赖,并在21% 的情况下减少了依赖的数量。

Introduction:

现有工作的问题:

npm官方漏洞修复工具audit

NPM内置的工具npm audit通过查询GitHub安全咨询数据库检查有漏洞的依赖项。该工具还可以通过升级依赖项而不违反版本限制来修复漏洞。但是,该工具有几个缺点。

  • 首先,每次运行只尝试修复一个漏洞。过去,NPM的贪婪算法常常导致重复依赖和膨胀的代码,NPM的漏洞修复算法也是贪心的,会引入新的漏洞。
  • 其次,它仅升级有漏洞的依赖项,即使有一个无漏洞的版本可以满足版本限制。
  • 第三,尽管CVSS漏洞评分可在GitHub安全咨询数据库中获得,但该工具并不按漏洞分数进行优先修复。漏洞评分(CVSS)是一种用于评估计算机系统和网络设备漏洞风险的开放标准,它为安全研究人员、企业和政府提供了一种简单、标准化的方法来评估漏洞的严重程度。
  • 最后,该工具不会基于漏洞的严重性进行妥协。例如,一个修复可能会引入比原漏洞更严重的新漏洞。

以往的研究忽略了软件开发的复杂性,特别是在需求多元化的情况下,开发人员需要更好的依赖性解析器。在复杂的软件开发中,需要更好的依赖性解析器来确保开发人员实现其目标。

Webpack、Browserify或Parcel

Bundler(如Webpack、Browserify或Parcel)是一个与NPM协同工作的工具,用于管理前端Web应用程序的依赖项。主要任务是将所有依赖项打包成要通过Web加载的文件,而不是本地文件系统。然而,Bundler的功能不止于此,还包括通过各种技术来尽可能减少页面加载时间。减少代码大小是减少页面加载时间的简单方法。不幸的是,NPM容易重复包,从而导致代码大小增加[1]。现代打包器采用了各种技术,从代码压缩到统一相同内容的单个文件。然而,这些技术并不总是可靠的,并且已知会破坏广泛使用的前端框架[2],[3]。

管理状态依赖项

NPM选择同一依赖项的多个版本的能力在使用某些有状态框架时也是无助的。例如,React是一种常用的Web框架,它依赖于内部全局状态来安排视图更新。如果程序依赖于两个传递依赖于React的不同版本的软件包,则很可能会遇到运行时错误或静默失败。避免这个问题的唯一方法是,如果所有软件包作者都小心地将其对React的依赖标记为peer dependency:即由项目中的其他软件包安装的依赖项。然而,无法确定所有第三方依赖项是否正确使用peer dependencies。还很难确定一个软件包是否永远不会被用作依赖项,因此不应使用peer dependencies。What?

我们的关键见解是,所有这些问题都可以被定义为一个更普遍的问题的实例:最优依赖解决,其中优化目标和约束的选择决定了哪些目标的优先级。由于NPM生态系统中存在广泛的目标,本文认为NPM应该允许开发人员定制和结合多个目标。例如,开发人员应该能够指定策略,如“依赖关系不能存在任何重要漏洞”,“不应重复使用任何软件包”,并将这些与“选择满足所有约束条件的最新软件包版本”的基本目标相结合。为了使这种定制和结合的目标成为可能并评估其有效性,我们提出了MAXNPM:一个完整的、可以直接替代NPM的工具,它使开发人员能够结合多个目标。

Methods:

  • a. Study’s theoretical basis
    • PACSOLVE 通过一个高级DSL来规定包版本、版本约束、优化目标等的语法和语义,并使用一个基于求解器的语言来生成Max-SMT 求解器的问题。 (DSL是指领域特定语言(Domain-Specific Language),也称为专用领域语言。DSL是一种针对特定领域的编程语言,用于解决该领域中的特定问题。与通用编程语言不同,DSL的语法、语义和功能都是为了满足特定领域的需求而设计的。DSL的目标是使编写和阅读代码更加容易,减少出错的可能性。)
  • b. Article’s technical route (step by step)
    • PACSOLVE和MAXNPM为依赖解决提供了一个统一的框架和实现,可让开发者自定义约束和优化目标。MAXNPM允许开发者在安装依赖关系时组合多个目标,例如更喜欢新的依赖项,减少代码大小并最小化安全漏洞数量或其严重程度。

A. Describing a Dependency Solver with PACSOLVE

PACSOLVE是一种基于约束优化的依赖关系解决器,旨在解决软件依赖项管理领域中的复杂问题。它是一个用Python编写的开源项目,可以自定义和组合多个优化目标和约束条件来优化软件依赖项的选择。

PACSOLVE的目标是提供一种灵活、可扩展的依赖项解决方案,可以满足各种不同类型的开发项目。它支持多种优化目标,如最小化软件包数量、最大化软件包的版本稳定性、最小化安全漏洞数量等。此外,PACSOLVE还支持自定义约束条件,如依赖项版本的范围限制、禁止特定依赖项的使用等。

PACSOLVE的优势在于它使用的是约束优化算法,可以在满足所有约束条件的前提下找到最优解。它还可以解决由于重复软件包、版本冲突和安全漏洞等问题而引起的依赖项选择困难的问题。同时,PACSOLVE还支持与其他依赖项管理工具和构建系统集成,可以方便地应用于各种不同类型的软件项目。

B. The Semantics of PACSOLVE

C. Synthesizing Solution Graphs with PACSOLVE

Max-SMT求解器高效实现PACSOLVE

Evaluation:

数据集:Top 1000没有漏洞的npm软件包 和 715个CVSS得分高的包的Vuln715数据集

RQ1: Can MAXNPM find better solutions than NPM when given different optimization objectives?

a.更多减少漏洞 比较npm和PACSOLVE的CVSS得分

b.找到更新的npm包:

c.减少代码膨胀,利用重复的package

RQ2: Do MAXNPM solutions pass existing test suites?

NPM通过, MAXNPM大多数能通过

RQ3: Does MAXNPM successfully solve packages that NPM solves?

成功构建了972/1000个包,有可比性?和npm对比多构建了多少个包?

RQ4*: Does using MAXNPM substantially increase solving time

多增加了2-4s的额外时间

Conclusion:

  • a. Work significance
    • PACSOLVE和MAXNPM提供了一种解决NPM依赖解决器限制的有效方法,使开发人员能够实现其目标,同时确保最优性并支持可自定义的约束和目标。
  • b. Innovation, performance, and workload
    • PACSOLVE的创新性在于使用了一个高级DSL来规定语法和语义,并利用一个基于求解器的语言生成问题,以便使用Max-SMT解决器求解问题,确保最优性和可扩展性。MAXNPM在多个目标优化中常常优于NPM和特定工具,在减少依赖漏洞、选择更新依赖和减少依赖项数量方面显著。
  • c. Research conclusions (list points)
    • PACSOLVE和MAXNPM为依赖解决提供了一个统一的框架和实现;
    • 通过使用PACSOLVE和MAXNPM,开发人员可以根据其自定义的约束和目标进行多目标优化的依赖解决;
    • 实验表明,MAXNPM在多个目标优化中常常优于NPM和特定工具,在减少依赖漏洞、选择更新依赖和减少依赖项数量方面显著。

Thinking

1、相关工作做的不够充分

ICSE 2022 - Demystifying the Vulnerability Propagation and Its Evolutionvia Dependency Trees in the NPM Ecosystem

TSE 2023 - Plumber_Boosting_the_Propagation_of_Vulnerability_Fixes_in_the_npm_Ecosystem 都没有提及

马踏飞燕&lin_li
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Optimal-Scheduling-for-Charging-and-Discharging-of-Electric-Vehicles-master.zip
09-13
该文件是经典的EV调度问题,采用滑窗变速优化方法对大电网中的Ev进行实时调度。考虑网损/电池老化/充电成本等,用全局优化和局部优化对比。(包含源码)
AAAI-19录用论文清单
TomRen
01-28 1万+
AAAI-19于1月27日在夏威夷召开,今年是33届会议。 会议录用论文清单, workshop16个,tutorials24个。 标题的词云分析: 作者单位词云(按作者人数计算/一篇文章可能有多个作者): picture from lonelyplanet.com 下面给出接收论文的列表: 第一个数字表示投稿的序号&内容可能有缺失 9: CircConv: A S...
【AAAI-2019】论文整理(清单)
热门推荐
TiffanyRabbit的博客
03-12 3万+
AAAI-19 Accepted Papers – Main Technical Track 整理自:AAAI官网,分类整理持续更新… 详细文章可从arXiz.org下载 – CircConv: A Structured Convolution with Low Complexity Siyu Liao ()*; Bo Yuan (Rutgers University) – Deep Sing...
AAAI-19录用论文
VIEO
09-04 1万+
元学习论文总结||小样本学习论文总结 2017-2019年计算机视觉顶会文章收录 AAAI2017-2019 CVPR2017-2019 ECCV2018 ICCV2017-2019 ICLR2017-2019 NIPS2017-2019 https://blog.csdn.net/u014636245/article/details/86661830 9: CircConv: A ...
1996-2016人工智能各大顶级会议最佳论文best paper
csvdvg的博客
07-06 1万+
Best Paper Awards in Computer Science (since 1996) By Conference:   AAAI   ACL   CHI   CIKM   CVPR   FOCS   FSE   ICCV   ICML   ICSE   IJCAI   INFOCOM   KDD   MOBICOM
Progress-Optimal-Lane-Tracking-and-obstacle-avoidance-via-MPC
04-30
通过MPC进行最佳的通道追踪和避免障碍使用模型预测控制和轮廓控制来实现进度的最佳车道跟踪和避障。 进行中
a class of optimal minimum odd-weight-column SEC-DED Codes
08-26
单bit错误校正,多bit错误检测的ECC算法论文;比传统的Hamming更加简洁、高效。
Near-Optimal and Practical Jamming-Resistant Energy-Efficient Cognitive Radio Communications
02-22
Near-Optimal and Practical Jamming-Resistant Energy-Efficient Cognitive Radio Communications
IEEE-Transactions-Optimal-capacitor-placement-on-_capacitor plac
07-15
OPTIMAL CAPACITOR PLACEMENT ON RADIAL DISTRIBUTION SYSTEMS
备考数通HCIE证书4点经验分享
qq2859066538的博客
04-26 537
记得有一次,在做无线局域网AP上线实验时,发现我的AP迟迟不能上线,于是就开始一步步排错,先检查AP设备有没有分配到IP地址,接着去查一下我的capwab隧道有没有配置,同时在每台设备上都查询有没有放行管理VLAN,然后再检查VAP模板时发现了问题,VLAN的转发模式默认的直接转发,应该设置为隧道转发,修改完后,AP就正常上线了。赵老师是一位厉害的老师,在ICT行业里有很多年的工作经验,讲课既有趣又严谨,能够把那些本来抽象难懂的知识点,讲得明白易懂,尤其适合像我这样刚开始什么也不懂的小白。
软2一月考勤表-20230917-075457.xlsx
04-29
软2一月考勤表-20230917-075457.xlsx
node-v9.10.0-win-x86.zip
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2023年 【19页】AIGC行业专题报告:2023年有望成为AIGC的拐点.zip
04-29
2023年 【19页】AIGC行业专题报告:2023年有望成为AIGC的拐点.zip
node-v6.11.2-sunos-x64.tar.gz
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
集团IT信息化产品项目实施方法论及IT信息化服务方案.pptx
04-29
集团IT信息化产品项目实施方法论及IT信息化服务方案.pptx
Delphi编程语言的深度解析
04-29
Delphi作为一款功能强大的编程语言,以其直观易用的集成开发环境(IDE)和高效的编译器赢得了广大开发者的青睐。本文将对Delphi编程语言的特性、应用领域、编程环境、以及与其他编程语言的比较进行全面而深入的解析,并结合实际案例展示Delphi的编程实践。 Delphi是一种面向对象的编程语言,同时它也是一款可视化软件开发工具。Delphi最初由Borland公司推出,并在后续发展中被Embarcadero Technologies接手。其第一个版本发布于1995年,当时该软件还叫做Object Pascal,后来才更名为Delphi。 Delphi作为一款功能强大的编程语言,在应用程序开发领域具有广泛的应用前景。其直观易用的IDE、高效的编译器以及丰富的组件库为开发者提供了强大的支持。通过本文的解析和案例展示,我们可以看到Delphi在快速开发、跨平台性以及面向对象等方面的优势。随着技术的不断进步和需求的不断变化,相信Delphi将继续发挥其在应用程序开发领域的重要作用。
源代码-76521生活网模板 asp版 v1.8.zip
04-29
源代码-76521生活网模板 asp版 v1.8.zip
瑞萨RA6M5实现ADC电压采集(FSP库驱动)
最新发布
04-29
瑞萨RA4M2驱动程序,Keil开发环境,FSP库驱动。 项目代码可直接编译运行~
optimal economic scheduling onsharing energy-storage station.zip
05-13
分享能源储存站对于智能电网的可持续发展至关重要。在优化经济调度方面,需要考虑多方面因素,如能源供应和需求之间的平衡、储能站的投资和运营成本、储能站的容量和维护等。首先,通过分析能源市场的价格变化和能源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值