論文の概要: Preventing Supply Chain Vulnerabilities in Java with a Fine-Grained
Permission Manager
- arxiv url: http://arxiv.org/abs/2310.14117v1
- Date: Sat, 21 Oct 2023 21:23:09 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-25 01:42:54.657907
- Title: Preventing Supply Chain Vulnerabilities in Java with a Fine-Grained
Permission Manager
- Title(参考訳): きめ細かなパーミッションマネージャによるjavaのサプライチェーン脆弱性の防止
- Authors: Paschal C. Amusuo (1), Kyle A. Robinson (1), Santiago Torres-Arias
(1), Laurent Simon (2) and James C. Davis (1) ((1) Purdue University, (2)
Google)
- Abstract要約: 我々はNext-JSMについて説明する。これはJavaアプリケーションのための、最初のきめ細かい(サプライチェーン対応)パーミッションマネージャである。
Next-JSMはパッケージレベルの粒度でのパーミッション管理をサポートする。
我々は、Next-JSMが評価した12のパッケージの脆弱性のうち11を軽減し、Dacapobenchベンチマークで平均2.72%のオーバーヘッドを発生させることを示した。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Integrating third-party packages accelerates modern software engineering, but
introduces the risk of software supply chain vulnerabilities. Vulnerabilities
in applications' dependencies are being exploited worldwide. Often, these
exploits leverage features that are present in a package, yet unneeded by an
application. Unfortunately, the current generation of permission managers, such
as SELinux, Docker containers, and the Java Security Manager, are too
coarse-grained to usefully support engineers and operators in mitigating these
vulnerabilities. Current approaches offer permissions only at the application's
granularity, lumping legitimate operations made by safe packages with
illegitimate operations made by exploited packages. This strategy does not
reflect modern engineering practice. we need a permission manager capable of
distinguishing between actions taken by different packages in an application's
supply chain.
In this paper, we describe Next-JSM, the first fine-grained ("supply chain
aware") permission manager for Java applications. Next-JSM supports permission
management at package-level granularity. Next-JSM faces three key challenges:
operating on existing JVMs and without access to application or package source
code, minimizing performance overhead in applications with many packages, and
helping operators manage finer-grained permissions. We show that these
challenges can be addressed through bytecode rewriting; appropriate data
structures and algorithms; and an expressive permission notation plus automated
tooling to establish default permission. In our evaluation, we report that
Next-JSM mitigates 11 of the 12 package vulnerabilities we evaluated and incurs
an average 2.72% overhead on the Dacapobench benchmark. Qualitatively, we argue
that Next-JSM addresses the shortcomings of the (recently deprecated) Java
Security Manager (JSM).
- Abstract(参考訳): サードパーティパッケージの統合は、現代のソフトウェアエンジニアリングを加速するが、ソフトウェアサプライチェーンの脆弱性のリスクをもたらす。
アプリケーションの依存関係の脆弱性は世界中で利用されています。
これらのエクスプロイトは多くの場合、パッケージに存在する機能を活用するが、アプリケーションによっては不要である。
残念なことに、SELinuxやDockerコンテナ、Java Security Managerといった現在の世代のパーミッションマネージャは、大きすぎるため、これらの脆弱性を緩和するエンジニアやオペレーターを便利にサポートできない。
現在のアプローチでは、アプリケーションの粒度でのみ許可を提供し、悪用されたパッケージによって行われる不正な操作で安全なパッケージによって行われる正当な操作を集約する。
この戦略は現代の工学の実践を反映していない。
アプリケーションのサプライチェーン内の異なるパッケージによって取られたアクションを区別できるパーミッションマネージャが必要です。
本稿では,javaアプリケーションにおける最初の細粒度(サプライチェーン認識)パーミッションマネージャであるnext-jsmについて述べる。
Next-JSMはパッケージレベルの粒度でのパーミッション管理をサポートする。
next-jsmは3つの主要な課題に直面している: 既存のjvm上で動作し、アプリケーションやパッケージのソースコードにアクセスせず、多くのパッケージを持つアプリケーションのパフォーマンスオーバーヘッドを最小化し、オペレーターがより細かいパーミッションを管理するのを助ける。
バイトコードの書き直し、適切なデータ構造とアルゴリズム、そしてデフォルトのパーミッションを確立するための表現的なパーミッション表記と自動ツールによって、これらの課題に対処できることを示します。
我々の評価では、Next-JSMは評価した12のパッケージの脆弱性のうち11を軽減し、Dacapobenchベンチマークで平均2.72%のオーバーヘッドを発生させる。
質的に言えば、Next-JSMは(最近廃止されている)Java Security Manager(JSM)の欠点に対処するものです。
関連論文リスト
- JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。
JailbreakBenchは、jailbreak攻撃を評価するためのオープンソースのベンチマークである。
論文 参考訳(メタデータ) (2024-03-28T02:44:02Z) - EasyJailbreak: A Unified Framework for Jailbreaking Large Language Models [53.87416566981008]
本稿では,大規模言語モデル(LLM)に対するジェイルブレイク攻撃の構築と評価を容易にする統合フレームワークであるEasyJailbreakを紹介する。
Selector、Mutator、Constraint、Evaluatorの4つのコンポーネントを使ってJailbreak攻撃を構築する。
10の異なるLSMで検証した結果、さまざまなジェイルブレイク攻撃で平均60%の侵入確率で重大な脆弱性が判明した。
論文 参考訳(メタデータ) (2024-03-18T18:39:53Z) - SecGPT: An Execution Isolation Architecture for LLM-Based Systems [37.47068167748932]
SecGPTは、サードパーティアプリの実行に伴うセキュリティとプライバシの問題を軽減することを目的としている。
我々はSecGPTをいくつかのケーススタディアタックに対して評価し、多くのセキュリティ、プライバシ、安全性の問題から保護されていることを実証する。
論文 参考訳(メタデータ) (2024-03-08T00:02:30Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。
本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
論文 参考訳(メタデータ) (2023-11-20T12:44:37Z) - Rust for Embedded Systems: Current State, Challenges and Open Problems [7.007575519473526]
本稿では,組み込みシステムにRUSTを使用する際の現状と課題を総合的に理解するための,最初の体系的研究を行う。
さまざまなカテゴリにまたがる2,836のRUST組込みソフトウェアと5つの静的アプリケーションセキュリティテスト(SAST)ツールのデータセットを収集しました。
既存のRUSTソフトウェアサポートが不十分であること、SASTツールがRUST組み込みソフトウェアの特定の機能に対応できないこと、そして既存のRUSTソフトウェアにおける高度な型の導入が、相互運用可能なコードのエンジニアリングを困難にしていることを発見した。
論文 参考訳(メタデータ) (2023-11-08T23:59:32Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Demystifying RCE Vulnerabilities in LLM-Integrated Apps [20.01949990700702]
大規模言語モデル(LLM)は、様々な下流タスクにおいて顕著なポテンシャルを示している。
一部のフレームワークはリモートコード実行(RCE)脆弱性に悩まされており、アタッカーはプロンプトインジェクションを通じてアプリのサーバ上で任意のコードをリモートで実行できる。
1) LLMSmithと呼ばれる静的解析ベースのツールで,潜在的RCE脆弱性を検出するためにフレームワークのソースコードをスキャンし,2) LLM統合Webアプリの脆弱性を検証するために,プロンプトベースの自動テストアプローチを提案する。
論文 参考訳(メタデータ) (2023-09-06T11:39:37Z) - SecureFalcon: The Next Cyber Reasoning System for Cyber Security [1.0700114817489723]
本稿では,FalconLLM上に構築された革新的なモデルアーキテクチャであるSecureFalconを紹介する。
SecureFalconは、脆弱性のあるCコードのサンプルと非脆弱性なCコードのサンプルを区別するように訓練されている。
我々は、その性能を評価するために、生成人工知能(AI)によって構築された新しいトレーニングデータセット、FormAIを構築した。
論文 参考訳(メタデータ) (2023-07-13T08:34:09Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。