Code Ownership in Open-Source AI Software Security

要約

オープンソース AI ソフトウェア プロジェクトが AI ソフトウェア開発に不可欠なコンポーネントになるにつれ、開発者にとってオープンソース プロジェクトのセキュリティを確保および測定するための新しい方法を開発することが重要です。
コードの所有権は、このようなプロジェクトの進化において極めて重要であり、開発者の関与と潜在的な脆弱性についての洞察を提供します。
このペーパーでは、コード所有権のメトリクスを活用して、5 つの著名なオープンソース AI ソフトウェア プロジェクトにわたる潜在的な脆弱性との相関関係を実証的に調査します。
大規模な実証研究の結果は、高レベルの所有権（限られた数の小規模な貢献者によって特徴付けられる）と脆弱性の減少との間に正の関係があることを示唆しています。
さらに、プロジェクトの期間、個々のソース コード ファイルのタイムライン、影響を受けるリリースの数に基づいた時間指標を革新的に導入します。
これらの指標は、オープンソース AI ソフトウェア プロジェクトの個別のフェーズとそれぞれの脆弱性の強度を適切に分類します。
これらの新しいコード所有権メトリクスを使用して、プロジェクト キュレーターや品質保証専門家がオンサイト プロジェクトを評価およびベンチマークできるように支援する Python ベースのコマンドライン アプリケーションを実装しました。
この取り組みにより、オープンソース AI プロジェクトのセキュリティを確保および測定するための継続的な研究開発が開始されると予想されます。

要約(オリジナル)

As open-source AI software projects become an integral component in the AI software development, it is critical to develop a novel methods to ensure and measure the security of the open-source projects for developers. Code ownership, pivotal in the evolution of such projects, offers insights into developer engagement and potential vulnerabilities. In this paper, we leverage the code ownership metrics to empirically investigate the correlation with the latent vulnerabilities across five prominent open-source AI software projects. The findings from the large-scale empirical study suggest a positive relationship between high-level ownership (characterised by a limited number of minor contributors) and a decrease in vulnerabilities. Furthermore, we innovatively introduce the time metrics, anchored on the project’s duration, individual source code file timelines, and the count of impacted releases. These metrics adeptly categorise distinct phases of open-source AI software projects and their respective vulnerability intensities. With these novel code ownership metrics, we have implemented a Python-based command-line application to aid project curators and quality assurance professionals in evaluating and benchmarking their on-site projects. We anticipate this work will embark a continuous research development for securing and measuring open-source AI project security.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google