論文の概要: What are Weak Links in the npm Supply Chain?

• arxiv url: http://arxiv.org/abs/2112.10165v2
• Date: Mon, 14 Feb 2022 14:36:17 GMT
• ステータス: 処理完了
• システム内更新日: 2023-03-04 03:04:32.802040
• Title: What are Weak Links in the npm Supply Chain?
• Title（参考訳）: npmサプライチェーンにおける弱リンクとは何か?
• Authors: Nusrat Zahan, Thomas Zimmermann, Patrice Godefroid, Brendan Murphy, Chandra Maddila, Laurie Williams
• Abstract要約: 多くの攻撃者はnpmのような人気のあるパッケージマネージャとサプライチェーン攻撃のユーザをターゲットにしている。 2021年には、Open Source Softwareのサプライチェーンを利用したセキュリティ攻撃が、対前年比で650%増加した。 ソフトウェアサプライチェーンにおけるセキュリティ上の弱点として,インストールスクリプトの存在,期限切れのメールドメインに関連するメンテナアカウント,アクティブでないメンテナによる不活性パッケージの6つを提案する。
• 参考スコア（独自算出の注目度）: 12.081664720012224
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Modern software development frequently uses third-party packages, raising the concern of supply chain security attacks. Many attackers target popular package managers, like npm, and their users with supply chain attacks. In 2021 there was a 650% year-on-year growth in security attacks by exploiting Open Source Software's supply chain. Proactive approaches are needed to predict package vulnerability to high-risk supply chain attacks. The goal of this work is to help software developers and security specialists in measuring npm supply chain weak link signals to prevent future supply chain attacks by empirically studying npm package metadata. In this paper, we analyzed the metadata of 1.63 million JavaScript npm packages. We propose six signals of security weaknesses in a software supply chain, such as the presence of install scripts, maintainer accounts associated with an expired email domain, and inactive packages with inactive maintainers. One of our case studies identified 11 malicious packages from the install scripts signal. We also found 2,818 maintainer email addresses associated with expired domains, allowing an attacker to hijack 8,494 packages by taking over the npm accounts. We obtained feedback on our weak link signals through a survey responded to by 470 npm package developers. The majority of the developers supported three out of our six proposed weak link signals. The developers also indicated that they would want to be notified about weak links signals before using third-party packages. Additionally, we discussed eight new signals suggested by package developers.
• Abstract（参考訳）: 現代のソフトウェア開発は、しばしばサードパーティのパッケージを使用し、サプライチェーンのセキュリティ攻撃に対する懸念を高めている。 多くの攻撃者はnpmのような人気のあるパッケージマネージャとサプライチェーン攻撃のユーザをターゲットにしている。 2021年には、オープンソースソフトウェアのサプライチェーンを利用するセキュリティ攻撃が前年比650%増加した。 リスクの高いサプライチェーン攻撃に対するパッケージ脆弱性を予測するには、積極的なアプローチが必要だ。 この研究の目的は、ソフトウェア開発者やセキュリティスペシャリストがnpmサプライチェーンの弱いリンクシグナルを測定し、npmパッケージメタデータを実証的に調査することで、将来のサプライチェーン攻撃を防止することにある。 本稿では,163万のJavaScript npmパッケージのメタデータを分析した。 ソフトウェアサプライチェーンにおけるセキュリティ上の弱点として,インストールスクリプトの存在,期限切れのメールドメインに関連するメンテナアカウント,アクティブでないメンテナによる不活性パッケージの6つを提案する。 ケーススタディの1つは、インストールスクリプト信号から11の悪意のあるパッケージを特定した。 また、失効したドメインに関連する2,818のメンテナのメールアドレスを発見し、攻撃者がnpmアカウントを乗っ取ることで8,494個のパッケージをハイジャックできるようにしました。 470 npmパッケージ開発者が回答した調査を通じて,弱リンク信号に対するフィードバックを得た。 開発者の大半は、提案されている弱リンク信号のうち3つをサポートしています。 開発者はサードパーティパッケージを使用する前に、弱いリンク信号について通知したいとも述べた。 さらに,パッケージ開発者の提案する8つの新しいシグナルについても検討した。

関連論文リスト

• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms [0.0]
  我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。 開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
  論文  参考訳（メタデータ） (2024-10-22T17:21:28Z)
• Dirty-Waters: Detecting Software Supply Chain Smells [10.405775369526006]
  ソフトウェアサプライチェーン臭の新しい概念と,ソフトウェアサプライチェーン臭を検出する新しいツールであるDirty-Watersを定義した。 9つのバージョンにわたる3つのJavaScriptプロジェクトでDirty-Watersを評価し、提案されたソフトウェアサプライチェーンの匂いの頻度を実証した。
  論文  参考訳（メタデータ） (2024-10-21T14:24:12Z)
• The Latency Price of Threshold Cryptosystem in Blockchains [52.359230560289745]
  本稿では,Byzantine-fault Tolerant(BFT)コンセンサスプロトコルを用いた,しきい値暗号とブロックチェーンのクラス間の相互作用について検討する。 しきい値暗号システムに対する既存のアプローチは、しきい値暗号プロトコルを実行するための少なくとも1つのメッセージ遅延の遅延オーバーヘッドを導入している。 しきい値が狭いブロックチェーンネイティブのしきい値暗号システムに対して,このオーバーヘッドを取り除く機構を提案する。
  論文  参考訳（メタデータ） (2024-07-16T20:53:04Z)
• GoSurf: Identifying Software Supply Chain Attack Vectors in Go [9.91891839872381]
  本稿では,Go言語に適した12個の異なる攻撃ベクトルの分類法とそのパッケージライフサイクルを提案する。 私たちの研究は、Goエコシステム内のオープンソースのソフトウェアサプライチェーンを確保するための予備的な洞察を提供します。
  論文  参考訳（メタデータ） (2024-07-05T11:52:27Z)
• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• Malicious Package Detection using Metadata Information [0.272760415353533]
  本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。 MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。 実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
  論文  参考訳（メタデータ） (2024-02-12T06:54:57Z)
• Model Supply Chain Poisoning: Backdooring Pre-trained Models via Embedding Indistinguishability [61.549465258257115]
  そこで我々は,PTMに埋め込まれたバックドアをモデルサプライチェーンに効率的に移動させる,新しい,より厳しいバックドア攻撃であるTransTrojを提案する。 実験の結果,本手法はSOTAタスク非依存のバックドア攻撃より有意に優れていた。
  論文  参考訳（メタデータ） (2024-01-29T04:35:48Z)
• On the Feasibility of Cross-Language Detection of Malicious Packages in npm and PyPI [6.935278888313423]
  悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。 最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。 言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-10-14T12:32:51Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。