論文の概要: ZTD$_{JAVA}$: Mitigating Software Supply Chain Vulnerabilities via Zero-Trust Dependencies
- arxiv url: http://arxiv.org/abs/2310.14117v2
- Date: Thu, 25 Apr 2024 14:34:20 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-26 23:47:37.504100
- Title: ZTD$_{JAVA}$: Mitigating Software Supply Chain Vulnerabilities via Zero-Trust Dependencies
- Title(参考訳): ZTD$_{JAVA}$:ゼロトラスト依存によるソフトウェアサプライチェーン脆弱性の緩和
- Authors: Paschal C. Amusuo, Kyle A. Robinson, Tanmay Singla, Huiyun Peng, Aravind Machiry, Santiago Torres-Arias, Laurent Simon, James C. Davis,
- Abstract要約: Log4Jのようなサードパーティのソフトウェアコンポーネントは、ソフトウェア開発を加速するが、かなりのリスクをもたらす。
本稿では,NIST Zero Trust Architectureをソフトウェアアプリケーションに適用することを提案する。
本稿では,ゼロトラスト依存のソフトウェアアプリケーションへの適用を可能にするシステム設計のZTDSYSと,Javaアプリケーションに対するプロトタイプのZTDJAVAを提案する。
- 参考スコア(独自算出の注目度): 8.161144363123544
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Third-party software components like Log4J accelerate software application development but introduce substantial risk. These components have led to many software supply chain attacks. These attacks succeed because third-party software components are implicitly trusted in an application. Although several security defenses exist to reduce the risks from third-party software components, none of them fulfills the full set of requirements needed to defend against common attacks. No individual solution prevents malicious access to operating system resources, is dependency-aware, and enables the discovery of least privileges, all with low runtime costs. Consequently, they cannot prevent software supply chain attacks. This paper proposes applying the NIST Zero Trust Architecture to software applications. Our Zero Trust Dependencies concept applies the NIST ZTA principles to an application's dependencies. First, we assess the expected effectiveness and feasibility of Zero Trust Dependencies using a study of third-party software components and their vulnerabilities. Then, we present a system design, ZTDSYS, that enables the application of Zero Trust Dependencies to software applications and a prototype, ZTDJAVA, for Java applications. Finally, with evaluations on recreated vulnerabilities and realistic applications, we show that ZTDJAVA can defend against prevalent vulnerability classes, introduces negligible cost, and is easy to configure and use.
- Abstract(参考訳): Log4Jのようなサードパーティのソフトウェアコンポーネントは、ソフトウェア開発を加速するが、かなりのリスクをもたらす。
これらのコンポーネントは、多くのソフトウェアサプライチェーン攻撃を引き起こしている。
これらの攻撃は、サードパーティのソフトウェアコンポーネントがアプリケーションに暗黙的に信頼されているため、成功する。
サードパーティのソフトウェアコンポーネントからのリスクを軽減するために、いくつかのセキュリティディフェンスが存在するが、いずれも、一般的な攻撃に対して防御するために必要な要件をすべて満たしていない。
個々のソリューションがオペレーティングシステムリソースへの悪意あるアクセスを防ぎ、依存関係を認識し、最小限の特権の発見を可能にする。
そのため、ソフトウェアサプライチェーンの攻撃を防ぐことはできない。
本稿では,NIST Zero Trust Architectureをソフトウェアアプリケーションに適用することを提案する。
我々のゼロトラスト依存性の概念は、NIST ZTAの原則をアプリケーションの依存性に適用します。
まず、サードパーティのソフトウェアコンポーネントとその脆弱性を調査し、ゼロトラスト依存の期待される有効性と実現可能性を評価する。
そして、ソフトウェアアプリケーションへのゼロトラスト依存の適用を可能にするシステム設計であるZTDSYSと、Javaアプリケーションに対するプロトタイプであるZTDJAVAを提案する。
最後に、再現された脆弱性と現実的なアプリケーションの評価から、ZTDJAVAは一般的な脆弱性クラスに対して防御でき、無視可能なコストを導入でき、設定や使用が容易であることを示す。
関連論文リスト
- AdaShield: Safeguarding Multimodal Large Language Models from Structure-based Attack via Adaptive Shield Prompting [54.931241667414184]
textbfAdaptive textbfShield Promptingを提案する。これは、MLLMを構造ベースのジェイルブレイク攻撃から守るための防御プロンプトで入力をプリペイドする。
我々の手法は、構造に基づくジェイルブレイク攻撃に対するMLLMの堅牢性を一貫して改善することができる。
論文 参考訳(メタデータ) (2024-03-14T15:57:13Z) - DrAttack: Prompt Decomposition and Reconstruction Makes Powerful LLM
Jailbreakers [80.18953043605696]
我々はjailbreak textbfAttack (DrAttack) のための自動プロンプト textbfDecomposition と textbfReconstruction フレームワークを導入する。
DrAttack には3つの重要な要素が含まれている: (a) プロンプトをサブプロンプトに分解する; (b) セマンティックに類似しているが無害な再組み立てデモで暗黙的にこれらのサブプロンプトを再構築する; (c) サブプロンプトのシンノニム検索する; サブプロンプトのシノニムを見つけることを目的としたサブプロンプトのシノニムを見つけること。
論文 参考訳(メタデータ) (2024-02-25T17:43:29Z) - Watch Out for Your Agents! Investigating Backdoor Threats to LLM-Based
Agents [50.034049716274005]
我々は、LSMベースのエージェントに対して、典型的な安全脅威であるバックドアアタックの1つを調査する第一歩を踏み出した。
まず、エージェントバックドア攻撃の一般的な枠組みを定式化し、その後、エージェントバックドア攻撃の様々な形態について徹底的に分析する。
本稿では,2つの典型的なエージェント・タスクに対するエージェント・バックドア・アタックのバリエーションを実装するためのデータ中毒機構を提案する。
論文 参考訳(メタデータ) (2024-02-17T06:48:45Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - Do-Not-Answer: A Dataset for Evaluating Safeguards in LLMs [59.596335292426105]
本稿では,大規模な言語モデルにおけるセーフガードを評価するための,最初のオープンソースデータセットを収集する。
我々は、自動安全性評価において、GPT-4に匹敵する結果を得るために、BERTライクな分類器をいくつか訓練する。
論文 参考訳(メタデータ) (2023-08-25T14:02:12Z) - RatGPT: Turning online LLMs into Proxies for Malware Attacks [0.0]
本稿では、ChatGPTが検出を回避しつつ悪意あるソフトウェアの普及に使用される概念実証について述べる。
我々はまた、検出されていないまま攻撃を成功させるために、一般的なアプローチと重要な要素を提示する。
論文 参考訳(メタデータ) (2023-08-17T20:54:39Z) - Mitigating Persistence of Open-Source Vulnerabilities in Maven Ecosystem [13.193125763978255]
脆弱性が公開されてすぐにパッチがリリースされるが、コミュニティのライブラリやアプリケーションは依然として脆弱性のあるバージョンを使っている。
本稿では、下流依存者に対する互換性のあるセキュアなバージョン範囲を自動的に復元するレンジ復元(Ranger)のソリューションを提案する。
論文 参考訳(メタデータ) (2023-08-07T09:11:26Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Attack Techniques and Threat Identification for Vulnerabilities [1.1689657956099035]
優先順位付けと集中は、最高のリスク脆弱性に限られた時間を費やすことが重要になります。
この研究では、機械学習と自然言語処理技術、およびいくつかの公開データセットを使用します。
まず、脆弱性を一般的な弱点の標準セットにマッピングし、次に一般的な弱点を攻撃テクニックにマップします。
このアプローチは平均相反ランク(MRR)が0.95であり、最先端システムで報告されているものと同等の精度である。
論文 参考訳(メタデータ) (2022-06-22T15:27:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。