본 논문은 현대 소프트웨어 개발에서 오픈소스 소프트웨어 공급망의 중요성을 강조하며, XZ-Util 사건과 같은 고도의 백도어 공격으로 인한 보안 위험을 해결하기 위해 세분화된 오픈소스 소프트웨어 백도어 위험 평가 프레임워크를 제안한다. 이 프레임워크는 공격자의 관점에서 은밀한 백도어 공격을 모델링하고 각 공격 단계별 목표 지표를 정의한다. 또한, 커미터 권한 상승 및 리뷰 참여 부족과 같은 저장소 유지 관리 활동의 신뢰성을 평가하기 위해 대규모 언어 모델(LLM)을 사용하여 수동으로 제작된 패턴에 의존하지 않고 코드 저장소의 의미론적 평가를 수행한다. 이 프레임워크는 Debian 생태계의 66개 고위험 패키지에 대해 평가되었으며, 실험 결과는 현재 오픈소스 소프트웨어 공급망이 다양한 보안 위험에 노출되어 있음을 보여준다.
