Uma Nova Estrutura para Categorizar Bibliotecas
Criando um sistema pra comparar bibliotecas em diferentes linguagens de programação de forma eficaz.
― 7 min ler
Índice
No mundo do desenvolvimento de software hoje em dia, Java e Python são duas das linguagens de programação mais populares. Ambas têm um monte de bibliotecas ou ferramentas que os desenvolvedores podem usar pra facilitar a vida. Mas, comparar bibliotecas entre diferentes ambientes de programação pode ser complicado. Isso acontece porque as categorias usadas pra definir essas bibliotecas podem não bater. Diferentes ecossistemas costumam usar nomes diferentes pra funcionalidades parecidas. Isso pode gerar mal-entendidos sobre quão seguras ou bem mantidas certas bibliotecas são quando olhamos entre diferentes linguagens de programação.
Pra ajudar a resolver esses desafios, criamos um sistema pra categorizar bibliotecas com base na sua finalidade funcional. Essa abordagem permite que os pesquisadores comparem bibliotecas de diferentes ambientes de programação de forma consistente. Neste artigo, explicamos os passos que seguimos pra categorizar as bibliotecas e os benefícios desse novo sistema.
O Problema da Comparação de Bibliotecas
Bibliotecas em programação são, basicamente, pacotes de ferramentas ou funções que os desenvolvedores usam pra construir aplicações. Cada ecossistema de programação, como o Maven do Java e o PyPI do Python, tem seu próprio jeito de categorizar essas bibliotecas. Por exemplo, uma biblioteca feita pra desenvolvimento web pode ser categorizada de um jeito no Java e de outro no Python. Isso pode causar confusão, especialmente na hora de avaliar a segurança das bibliotecas.
Se a gente quiser comparar bibliotecas do Java e do Python de forma eficaz, precisamos de uma estrutura comum pra categorização. Isso é crucial pra entender os riscos de segurança associados a várias bibliotecas, já que certos tipos de bibliotecas são mais vulneráveis a ataques do que outras.
Nossa Abordagem de Categorização
Pra lidar com esse problema, desenvolvemos um sistema guiado por humanos pra categorizar bibliotecas pela sua funcionalidade. O objetivo era criar um conjunto padrão de categorias que pudesse se aplicar a bibliotecas de diferentes ecossistemas, permitindo comparações significativas.
O sistema que criamos envolve várias etapas:
- Seleção de Bibliotecas: Escolhemos um conjunto de 256 bibliotecas Java que eram conhecidas por ter vulnerabilidades de segurança críticas.
- Coleta de Dados: Reunimos informações de várias fontes sobre cada biblioteca selecionada.
- Avaliação Humana: Vários avaliadores analisaram os dados coletados pra atribuir categorias a cada biblioteca com base na sua finalidade funcional.
- Revisão Final: Um árbitro verificou as escolhas dos avaliadores e tomou decisões finais quando havia desentendimentos.
Cada uma dessas etapas é importante pra garantir que a categorização seja precisa e confiável.
Selecionando Bibliotecas
A primeira etapa foi selecionar as bibliotecas pra nosso estudo. Focamos em bibliotecas Java do repositório Maven Central que tinham vulnerabilidades de segurança altas ou críticas. Ao escolher bibliotecas conhecidas por terem problemas, queríamos criar um conjunto de dados que fosse particularmente útil pra estudar riscos de segurança em diferentes ambientes.
No final, ficamos com um total de 256 bibliotecas que atendiam nossos critérios. Ao focar em bibliotecas com vulnerabilidades identificadas, conseguimos tornar nossas descobertas mais relevantes pra pesquisadores de segurança e desenvolvedores.
Coletando Dados
Depois de selecionar as bibliotecas, a próxima etapa foi reunir informações. Pra cada biblioteca, coletamos dados de quatro fontes principais:
- A entrada principal no repositório Maven Central
- O repositório principal da biblioteca (como o GitHub)
- O site oficial da biblioteca
- Qualquer documentação ou páginas wiki disponíveis relacionadas à biblioteca
Esse processo de coleta de dados foi importante porque garantiu que todos os avaliadores tivessem acesso às mesmas informações ao tomar decisões sobre categorização. Também nos ajudou a ter uma visão ampla da funcionalidade de cada biblioteca.
Avaliação Humana das Bibliotecas
Com todas as informações necessárias em mãos, seguimos pra categorizar as bibliotecas. Envolvemos vários avaliadores nesse processo pra minimizar viés e garantir precisão. Cada avaliador era responsável por revisar os dados das quatro fontes e, em seguida, atribuir uma categoria que melhor refletisse a principal finalidade da biblioteca.
Nossa categorização foi baseada em uma lista pré-definida de 24 categorias funcionais derivadas dos Tópicos do Índice de Pacotes Python (PyPI). Cada categoria incluía uma descrição pra guiar os avaliadores na hora de tomar suas decisões. As categorias eram amplas o suficiente pra se aplicar a vários tipos de bibliotecas, mas específicas o suficiente pra capturar suas funções principais.
Durante a avaliação, permitimos que os avaliadores escolhessem mais de uma categoria se achassem que a biblioteca poderia se encaixar em diferentes áreas funcionais. Essa flexibilidade foi útil pra bibliotecas que servem a múltiplos propósitos.
Revisão Final e Arbitragem
Depois que os avaliadores forneceram suas escolhas de categoria, precisávamos de uma maneira de resolver desentendimentos. É aí que o árbitro entrou. O papel do árbitro era revisar as escolhas feitas pelos avaliadores e tomar a decisão final quando havia opiniões conflitantes.
Ao revisar as fontes novamente, o árbitro podia determinar a categoria mais apropriada com base nas informações disponíveis. Essa etapa foi crítica pra garantir que a categorização final fosse o mais precisa e confiável possível.
Benefícios do Sistema
O sistema que desenvolvemos pra categorizar bibliotecas apresenta vários benefícios:
- Padronização: Ao criar um conjunto comum de categorias que pode se aplicar a diferentes ecossistemas, reduzimos a confusão e facilitamos a comparação de bibliotecas.
- Melhoria nas Percepções de Segurança: Com uma estrutura confiável pra categorização, os pesquisadores podem estudar mais eficazmente os problemas de segurança associados a diferentes bibliotecas, levando a uma melhor compreensão e, potencialmente, a práticas de segurança aprimoradas.
- Facilitando Pesquisas Entre Ecossistemas: Nossa abordagem permite que pesquisadores comparem bibliotecas entre linguagens, possibilitando uma visão mais consistente da qualidade e segurança do software.
- Acesso Aberto aos Dados: Ao fornecer acesso ao conjunto de dados categorizado, outros pesquisadores podem construir sobre nosso trabalho, conduzir suas análises e contribuir para a compreensão das funcionalidades das bibliotecas.
Limitações e Trabalhos Futuros
Embora nosso sistema tenha várias forças, ele não está livre de limitações. A natureza manual do processo de categorização o torna demorado, e a subjetividade envolvida nas avaliações humanas pode introduzir algum viés. No entanto, o uso de vários avaliadores e um árbitro ajuda a mitigar essas preocupações.
No futuro, planejamos estender nosso protocolo de categorização para outros ecossistemas, como o npm do JavaScript ou os Gems do Ruby. Além disso, queremos explorar o uso de técnicas de aprendizado de máquina pra automatizar partes do processo, o que poderia ajudar a escalar nossos esforços e reduzir o tempo necessário pra categorização.
Conclusão
Em conclusão, nosso trabalho apresenta uma abordagem sistemática pra categorizar bibliotecas de software com base na sua finalidade funcional. Ao desenvolver uma estrutura de categorização entre ecossistemas, fornecemos uma ferramenta valiosa pra pesquisadores e desenvolvedores que buscam entender e comparar bibliotecas entre linguagens de programação. Nosso método melhora o estudo das funcionalidades das bibliotecas, contribui pra uma melhor conscientização sobre segurança e abre oportunidades pra novas pesquisas na área. O conjunto de dados gerado pelo nosso estudo serve como uma base pra um conhecimento aprimorado sobre bibliotecas de software e suas vulnerabilidades.
Título: Cross-ecosystem categorization: A manual-curation protocol for the categorization of Java Maven libraries along Python PyPI Topics
Resumo: Context: Software of different functional categories, such as text processing vs. networking, has different profiles in terms of metrics like security and updates. Using popularity to compare e.g. Java vs. Python libraries might give a skewed perspective, as the categories of the most popular software vary from one ecosystem to the next. How can one compare libraries datasets across software ecosystems, when not even the category names are uniform among them? Objective: We study how to generate a language-agnostic categorisation of software by functional purpose, that enables cross-ecosystem studies of libraries datasets. This provides the functional fingerprint information needed for software metrics comparisons. Method: We designed and implemented a human-guided protocol to categorise libraries from software ecosystems. Category names mirror PyPI Topic classifiers, but the protocol is generic and can be applied to any ecosystem. We demonstrate it by categorising 256 Java/Maven libraries with severe security vulnerabilities. Results: The protocol allows three or more people to categorise any number of libraries. The categorisation produced is functional-oriented and language-agnostic. The Java/Maven dataset demonstration resulted in a majority of Internet-oriented libraries, coherent with its selection by severe vulnerabilities. To allow replication and updates, we make the dataset and the protocol individual steps available as open data. Conclusions: Libraries categorisation by functional purpose is feasible with our protocol, which produced the fingerprint of a 256-libraries Java dataset. While this was labour intensive, humans excel in the required inference tasks, so full automation of the process is not envisioned. However, results can provide the ground truth needed for machine learning in large-scale cross-ecosystem empirical studies.
Autores: Ranindya Paramitha, Yuan Feng, Fabio Massacci, Carlos E. Budde
Última atualização: 2024-03-10 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2403.06300
Fonte PDF: https://arxiv.org/pdf/2403.06300
Licença: https://creativecommons.org/licenses/by-sa/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.
Ligações de referência
- https://assuremoss.eu/en/
- https://zenodo.org/records/10480832
- https://peps.python.org/
- https://peps.python.org/pep-0301/
- https://nvd.nist.gov/
- https://api.gocd.org/21.1.0/
- https://www.first.org/cvss/v3.1/specification-document
- https://pypi.org/search/
- https://www.elsevier.com/authors/policies-and-guidelines/credit-author-statement