論文の概要: Toward a Reference Architecture for Software Supply Chain Metadata
Management
- arxiv url: http://arxiv.org/abs/2310.06300v1
- Date: Tue, 10 Oct 2023 04:25:30 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 03:42:41.325257
- Title: Toward a Reference Architecture for Software Supply Chain Metadata
Management
- Title(参考訳): ソフトウェアサプライチェーンメタデータ管理のためのリファレンスアーキテクチャに向けて
- Authors: Nguyen Khoi Tran, Samodha Pallewatta, M. Ali Babar
- Abstract要約: 本稿では,SSCメタデータとSCM2に関する知識の体系化について述べる。
RAは、SCM2システムのドメインモデルとアーキテクチャ青写真とから構成される。
評価の結果、RAフレームワークは既存のSCM2ソリューションを分析し、新しいSCM2のエンジニアリングを導くのに有効であることがわかった。
- 参考スコア(独自算出の注目度): 2.4247752614854203
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: An Software Supply Chain (SSC) attack combines an upstream attack, where
malicious codes are injected into a software artefact via a compromised life
cycle activity, and a downstream attack on the consumers who use the
compromised artefact. Organisations need thorough and trustworthy visibility
over the entire SSC of their software inventory to detect risks early and
rapidly identify compromised assets in the event of an SSC attack. One way to
achieve such visibility is through SSC metadata, machine-readable and
authenticated documents describing an artefact's lifecycle, such as how it was
constructed and the utilised ``ingredients''. Adopting SSC metadata requires
organisations to procure or develop a Software Supply Chain Metadata Management
system (SCM2), a suite of software tools for performing life cycle activities
of SSC metadata documents such as creation, signing, distribution, and
consumption. Selecting or developing an SCM2 is challenging due to the lack of
a comprehensive domain model and architectural blueprint to aid practitioners
in navigating the vast design space of SSC metadata terminologies, frameworks,
and solutions. This paper addresses the above-mentioned challenge with a
Systematisation of Knowledge about SSC metadata and SCM2, presented as a
Reference Architecture (RA). The RA comprises a domain model and an
architectural blueprint for SCM2 systems, constructed from the concepts and
building blocks scattered across existing SSC security frameworks and
standards. Our evaluation shows that the RA framework is effective for
analysing existing SCM2 solutions and guiding the engineering of new SCM2.
- Abstract(参考訳): ソフトウェアサプライチェーン(ssc)攻撃は、侵害されたライフサイクルアクティビティを介してソフトウェアアーティファクトに悪意のあるコードを注入する上流アタックと、侵害されたアーティファクトを使用する消費者に対する下流アタックとを組み合わせる。
組織は、リスクを早期に検出し、SSC攻撃の際の妥協資産を迅速に特定するために、ソフトウェアインベントリのSSC全体に対して、徹底的で信頼できる可視性が必要です。
このような可視性を実現する1つの方法は、sscメタデータ、構築方法や利用された ``ingredients''' のようなアーティファクトのライフサイクルを記述する機械可読で認証されたドキュメントである。
SSCメタデータを採用するには、作成、署名、配布、消費などのSSCメタデータドキュメントのライフサイクルアクティビティを実行するための一連のソフトウェアツールであるSoftware Supply Chain Metadata Management System (SCM2) の調達または開発が必要である。
SCM2の選択や開発は、SSCメタデータの用語、フレームワーク、ソリューションの広大なデザイン空間をナビゲートする実践者を支援する包括的なドメインモデルとアーキテクチャの青写真がないため、難しい。
本稿では、SSCメタデータに関する知識の体系化と参照アーキテクチャ(RA)として提示されたSCM2による課題について述べる。
RAはドメインモデルとSCM2システムのアーキテクチャ図で構成されており、既存のSSCセキュリティフレームワークや標準に散在する概念とビルディングブロックから構築されている。
評価の結果、RAフレームワークは既存のSCM2ソリューションを分析し、新しいSCM2のエンジニアリングを導くのに有効であることがわかった。
関連論文リスト
- Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - DevPhish: Exploring Social Engineering in Software Supply Chain Attacks
on Developers [0.25729063928675466]
敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。
本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
論文 参考訳(メタデータ) (2024-02-28T15:24:43Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - TitanCFI: Toward Enforcing Control-Flow Integrity in the Root-of-Trust [4.444373990868152]
TitanCFIは保護されたコアのコミットステージを変更して、制御フロー命令をRoTにストリームする。
カスタムIPの設計やコンパイルツールチェーンの変更を避ける。
RoTのタンパー保護ストレージと暗号アクセラレータを利用してメタデータをセキュアにする。
論文 参考訳(メタデータ) (2024-01-04T22:58:33Z) - Digital Twins and the Future of their Use Enabling Shift Left and Shift Right Cybersecurity Operations [15.061739314361871]
Digital Twins(DT)は、スマートグリッドや製造といったスマートクリティカルシステム(SCS)ドメインのオペレーションを最適化し、パフォーマンスを監視する。
このビジョンペーパーは、データ駆動型およびルールベースセマンティックSDTモデルによるハイブリッドインテリジェンスを探索し、革新的な技術を通してインテリジェントなSDT設計の概要を示す。
論文 参考訳(メタデータ) (2023-09-24T11:20:58Z) - Causal Semantic Communication for Digital Twins: A Generalizable
Imitation Learning Approach [74.25870052841226]
デジタルツイン(DT)は、物理世界の仮想表現と通信(例えば6G)、コンピュータ、人工知能(AI)技術を活用して、多くの接続されたインテリジェンスサービスを実現する。
無線システムは、厳密な通信制約下での情報意思決定を容易にするために意味コミュニケーション(SC)のパラダイムを利用することができる。
DTベースの無線システムでは,因果意味通信(CSC)と呼ばれる新しいフレームワークが提案されている。
論文 参考訳(メタデータ) (2023-04-25T00:15:00Z) - Wider or Deeper Neural Network Architecture for Acoustic Scene
Classification with Mismatched Recording Devices [59.86658316440461]
音響シーン分類(ASC)のためのロバストで低複雑性なシステムを提案する。
本稿では,まず,新しい入出力型ネットワークアーキテクチャを設計し,不一致な記録装置問題に対処する,ASCベースラインシステムを構築する。
さらなる性能向上を図りながら、低複雑性モデルを満たすために、多重スペクトルのアンサンブルとチャネル縮小の2つの手法を適用した。
論文 参考訳(メタデータ) (2022-03-23T10:27:41Z) - Multi-Content Complementation Network for Salient Object Detection in
Optical Remote Sensing Images [108.79667788962425]
光リモートセンシング画像(RSI-SOD)における有能な物体検出は、いまだに課題である。
本稿では, RSI-SOD における複数コンテンツの相補性を検討するために, MCCNet (Multi-Content Complementation Network) を提案する。
MCCMでは、前景機能、エッジ機能、背景機能、グローバル画像レベル機能など、RSI-SODにとって重要な複数の機能について検討する。
論文 参考訳(メタデータ) (2021-12-02T04:46:40Z) - SMT-Based Safety Verification of Data-Aware Processes under Ontologies
(Extended Version) [71.12474112166767]
我々は、このスペクトルで最も調査されたモデルの1つ、すなわち単純なアーティファクトシステム(SAS)の変種を紹介する。
このDLは適切なモデル理論特性を享受し、後方到達性を適用可能なSASを定義することができ、対応する安全問題のPSPACEにおける決定可能性をもたらす。
論文 参考訳(メタデータ) (2021-08-27T15:04:11Z) - Searching Central Difference Convolutional Networks for Face
Anti-Spoofing [68.77468465774267]
顔認識システムにおいて、顔の反偽造(FAS)が重要な役割を担っている。
最先端のFASメソッドの多くは、スタック化された畳み込みと専門家が設計したネットワークに依存している。
ここでは、中央差分畳み込み(CDC)に基づくフレームレベルの新しいFAS手法を提案する。
論文 参考訳(メタデータ) (2020-03-09T12:48:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。