論文の概要: What are Weak Links in the npm Supply Chain?
- arxiv url: http://arxiv.org/abs/2112.10165v2
- Date: Mon, 14 Feb 2022 14:36:17 GMT
- ステータス: 処理完了
- システム内更新日: 2023-03-04 03:04:32.802040
- Title: What are Weak Links in the npm Supply Chain?
- Title(参考訳): npmサプライチェーンにおける弱リンクとは何か?
- Authors: Nusrat Zahan, Thomas Zimmermann, Patrice Godefroid, Brendan Murphy,
Chandra Maddila, Laurie Williams
- Abstract要約: 多くの攻撃者はnpmのような人気のあるパッケージマネージャとサプライチェーン攻撃のユーザをターゲットにしている。
2021年には、Open Source Softwareのサプライチェーンを利用したセキュリティ攻撃が、対前年比で650%増加した。
ソフトウェアサプライチェーンにおけるセキュリティ上の弱点として,インストールスクリプトの存在,期限切れのメールドメインに関連するメンテナアカウント,アクティブでないメンテナによる不活性パッケージの6つを提案する。
- 参考スコア(独自算出の注目度): 12.081664720012224
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Modern software development frequently uses third-party packages, raising the
concern of supply chain security attacks. Many attackers target popular package
managers, like npm, and their users with supply chain attacks. In 2021 there
was a 650% year-on-year growth in security attacks by exploiting Open Source
Software's supply chain. Proactive approaches are needed to predict package
vulnerability to high-risk supply chain attacks. The goal of this work is to
help software developers and security specialists in measuring npm supply chain
weak link signals to prevent future supply chain attacks by empirically
studying npm package metadata.
In this paper, we analyzed the metadata of 1.63 million JavaScript npm
packages. We propose six signals of security weaknesses in a software supply
chain, such as the presence of install scripts, maintainer accounts associated
with an expired email domain, and inactive packages with inactive maintainers.
One of our case studies identified 11 malicious packages from the install
scripts signal. We also found 2,818 maintainer email addresses associated with
expired domains, allowing an attacker to hijack 8,494 packages by taking over
the npm accounts. We obtained feedback on our weak link signals through a
survey responded to by 470 npm package developers. The majority of the
developers supported three out of our six proposed weak link signals. The
developers also indicated that they would want to be notified about weak links
signals before using third-party packages. Additionally, we discussed eight new
signals suggested by package developers.
- Abstract(参考訳): 現代のソフトウェア開発は、しばしばサードパーティのパッケージを使用し、サプライチェーンのセキュリティ攻撃に対する懸念を高めている。
多くの攻撃者はnpmのような人気のあるパッケージマネージャとサプライチェーン攻撃のユーザをターゲットにしている。
2021年には、オープンソースソフトウェアのサプライチェーンを利用するセキュリティ攻撃が前年比650%増加した。
リスクの高いサプライチェーン攻撃に対するパッケージ脆弱性を予測するには、積極的なアプローチが必要だ。
この研究の目的は、ソフトウェア開発者やセキュリティスペシャリストがnpmサプライチェーンの弱いリンクシグナルを測定し、npmパッケージメタデータを実証的に調査することで、将来のサプライチェーン攻撃を防止することにある。
本稿では,163万のJavaScript npmパッケージのメタデータを分析した。
ソフトウェアサプライチェーンにおけるセキュリティ上の弱点として,インストールスクリプトの存在,期限切れのメールドメインに関連するメンテナアカウント,アクティブでないメンテナによる不活性パッケージの6つを提案する。
ケーススタディの1つは、インストールスクリプト信号から11の悪意のあるパッケージを特定した。
また、失効したドメインに関連する2,818のメンテナのメールアドレスを発見し、攻撃者がnpmアカウントを乗っ取ることで8,494個のパッケージをハイジャックできるようにしました。
470 npmパッケージ開発者が回答した調査を通じて,弱リンク信号に対するフィードバックを得た。
開発者の大半は、提案されている弱リンク信号のうち3つをサポートしています。
開発者はサードパーティパッケージを使用する前に、弱いリンク信号について通知したいとも述べた。
さらに,パッケージ開発者の提案する8つの新しいシグナルについても検討した。
関連論文リスト
- AdaShield: Safeguarding Multimodal Large Language Models from Structure-based Attack via Adaptive Shield Prompting [54.931241667414184]
textbfAdaptive textbfShield Promptingを提案する。これは、MLLMを構造ベースのジェイルブレイク攻撃から守るための防御プロンプトで入力をプリペイドする。
我々の手法は、構造に基づくジェイルブレイク攻撃に対するMLLMの堅牢性を一貫して改善することができる。
論文 参考訳(メタデータ) (2024-03-14T15:57:13Z) - Preventing Supply Chain Vulnerabilities in Java with a Fine-Grained
Permission Manager [0.0]
我々はNext-JSMについて説明する。これはJavaアプリケーションのための、最初のきめ細かい(サプライチェーン対応)パーミッションマネージャである。
Next-JSMはパッケージレベルの粒度でのパーミッション管理をサポートする。
我々は、Next-JSMが評価した12のパッケージの脆弱性のうち11を軽減し、Dacapobenchベンチマークで平均2.72%のオーバーヘッドを発生させることを示した。
論文 参考訳(メタデータ) (2023-10-21T21:23:09Z) - On the Feasibility of Cross-Language Detection of Malicious Packages in
npm and PyPI [6.935278888313423]
悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。
最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。
言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
論文 参考訳(メタデータ) (2023-10-14T12:32:51Z) - How well does LLM generate security tests? [8.454827764115631]
開発者は生産性とソフトウェア品質を改善するために、しばしばサードパーティライブラリ(Lib)の上にソフトウェアを構築する。
こうした攻撃をサプライチェーン攻撃と呼び、2022年には742%増加した。
セキュリティテストを生成するためにChatGPT-4.0を使用しました。
論文 参考訳(メタデータ) (2023-10-01T16:00:58Z) - An Empirical Study of Malicious Code In PyPI Ecosystem [15.739368369031277]
PyPIは便利なパッケージ管理プラットフォームを開発者に提供します。
PyPIエコシステムの急速な発展は、悪意のあるパッケージの伝播という深刻な問題を引き起こしている。
PyPIエコシステムにおける悪意のあるコードライフサイクルの特徴と現状を理解するための実証的研究を行う。
論文 参考訳(メタデータ) (2023-09-20T02:51:02Z) - Software supply chain: review of attacks, risk assessment strategies and
security controls [0.13812010983144798]
ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。
我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。
本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
論文 参考訳(メタデータ) (2023-05-23T15:25:39Z) - BackdoorBox: A Python Toolbox for Backdoor Learning [67.53987387581222]
このPythonツールボックスは、代表的で高度なバックドア攻撃と防御を実装している。
研究者や開発者は、ベンチマークやローカルデータセットで、さまざまなメソッドを簡単に実装し、比較することができる。
論文 参考訳(メタデータ) (2023-02-01T09:45:42Z) - Certifiably Robust Policy Learning against Adversarial Communication in
Multi-agent Systems [51.6210785955659]
多くのマルチエージェント強化学習(MARL)では,エージェントが情報を共有し,適切な判断を下す上でコミュニケーションが重要である。
しかし、ノイズや潜在的な攻撃者が存在する現実世界のアプリケーションに訓練された通信エージェントを配置すると、通信ベースのポリシーの安全性は過小評価されている深刻な問題となる。
本研究では,攻撃者が任意の$CfracN-12$エージェントから被害者エージェントへの通信を任意に変更できる,$N$エージェントを備えた環境を検討する。
論文 参考訳(メタデータ) (2022-06-21T07:32:18Z) - Will bots take over the supply chain? Revisiting Agent-based supply
chain automation [71.77396882936951]
エージェントベースのサプライチェーンは2000年初頭から提案されている。
エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。
例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
論文 参考訳(メタデータ) (2021-09-03T18:44:26Z) - Backdoor Attack against Speaker Verification [86.43395230456339]
学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。
また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
論文 参考訳(メタデータ) (2020-10-22T11:10:08Z) - An Embarrassingly Simple Approach for Trojan Attack in Deep Neural
Networks [59.42357806777537]
トロイの木馬攻撃は、ハッカーが挿入した隠れトリガーパターンに依存する、デプロイされたディープニューラルネットワーク(DNN)を攻撃することを目的としている。
そこで本研究では,有毒データセットの再学習モデルによりトロイの木馬の挙動を注入する,従来と異なる学習自由攻撃手法を提案する。
提案したTrojanNetには,(1)小さなトリガパターンによって起動し,他の信号に対してサイレントを維持する,(2)モデルに依存しない,ほとんどのDNNに注入可能な,(3)攻撃シナリオを劇的に拡張する,(3)訓練不要のメカニズムは従来のトロイの木馬攻撃方法と比較して大規模なトレーニング作業の削減など,いくつかの優れた特性がある。
論文 参考訳(メタデータ) (2020-06-15T04:58:28Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。