論文の概要: ZTD$_{JAVA}$: Mitigating Software Supply Chain Vulnerabilities via Zero-Trust Dependencies

• arxiv url: http://arxiv.org/abs/2310.14117v2
• Date: Thu, 25 Apr 2024 14:34:20 GMT
• ステータス: 処理完了
• システム内更新日: 2024-04-26 23:47:37.504100
• Title: ZTD$_{JAVA}$: Mitigating Software Supply Chain Vulnerabilities via Zero-Trust Dependencies
• Title（参考訳）: ZTD$_{JAVA}$:ゼロトラスト依存によるソフトウェアサプライチェーン脆弱性の緩和
• Authors: Paschal C. Amusuo, Kyle A. Robinson, Tanmay Singla, Huiyun Peng, Aravind Machiry, Santiago Torres-Arias, Laurent Simon, James C. Davis,
• Abstract要約: Log4Jのようなサードパーティのソフトウェアコンポーネントは、ソフトウェア開発を加速するが、かなりのリスクをもたらす。 本稿では,NIST Zero Trust Architectureをソフトウェアアプリケーションに適用することを提案する。 本稿では,ゼロトラスト依存のソフトウェアアプリケーションへの適用を可能にするシステム設計のZTDSYSと,Javaアプリケーションに対するプロトタイプのZTDJAVAを提案する。
• 参考スコア（独自算出の注目度）: 8.161144363123544
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Third-party software components like Log4J accelerate software application development but introduce substantial risk. These components have led to many software supply chain attacks. These attacks succeed because third-party software components are implicitly trusted in an application. Although several security defenses exist to reduce the risks from third-party software components, none of them fulfills the full set of requirements needed to defend against common attacks. No individual solution prevents malicious access to operating system resources, is dependency-aware, and enables the discovery of least privileges, all with low runtime costs. Consequently, they cannot prevent software supply chain attacks. This paper proposes applying the NIST Zero Trust Architecture to software applications. Our Zero Trust Dependencies concept applies the NIST ZTA principles to an application's dependencies. First, we assess the expected effectiveness and feasibility of Zero Trust Dependencies using a study of third-party software components and their vulnerabilities. Then, we present a system design, ZTDSYS, that enables the application of Zero Trust Dependencies to software applications and a prototype, ZTDJAVA, for Java applications. Finally, with evaluations on recreated vulnerabilities and realistic applications, we show that ZTDJAVA can defend against prevalent vulnerability classes, introduces negligible cost, and is easy to configure and use.
• Abstract（参考訳）: Log4Jのようなサードパーティのソフトウェアコンポーネントは、ソフトウェア開発を加速するが、かなりのリスクをもたらす。 これらのコンポーネントは、多くのソフトウェアサプライチェーン攻撃を引き起こしている。 これらの攻撃は、サードパーティのソフトウェアコンポーネントがアプリケーションに暗黙的に信頼されているため、成功する。 サードパーティのソフトウェアコンポーネントからのリスクを軽減するために、いくつかのセキュリティディフェンスが存在するが、いずれも、一般的な攻撃に対して防御するために必要な要件をすべて満たしていない。 個々のソリューションがオペレーティングシステムリソースへの悪意あるアクセスを防ぎ、依存関係を認識し、最小限の特権の発見を可能にする。 そのため、ソフトウェアサプライチェーンの攻撃を防ぐことはできない。 本稿では,NIST Zero Trust Architectureをソフトウェアアプリケーションに適用することを提案する。 我々のゼロトラスト依存性の概念は、NIST ZTAの原則をアプリケーションの依存性に適用します。 まず、サードパーティのソフトウェアコンポーネントとその脆弱性を調査し、ゼロトラスト依存の期待される有効性と実現可能性を評価する。 そして、ソフトウェアアプリケーションへのゼロトラスト依存の適用を可能にするシステム設計であるZTDSYSと、Javaアプリケーションに対するプロトタイプであるZTDJAVAを提案する。 最後に、再現された脆弱性と現実的なアプリケーションの評価から、ZTDJAVAは一般的な脆弱性クラスに対して防御でき、無視可能なコストを導入でき、設定や使用が容易であることを示す。

関連論文リスト

• On Categorizing Open Source Software Security Vulnerability Reporting Mechanisms on GitHub [1.7174932174564534]
  オープンソースプロジェクトはソフトウェア開発に不可欠だが、修正なしで脆弱性を公表することは、エクスプロイトのリスクを増大させる。 OpenSSF(Open Source Security Foundation)は、プロジェクトセキュリティを強化するための堅牢なセキュリティポリシーを促進することでこの問題に対処している。 現在の調査では、多くのプロジェクトがOpenSSFの基準で不十分なパフォーマンスを示しており、より強力なセキュリティプラクティスの必要性を示している。
  論文  参考訳（メタデータ） (2025-02-11T09:23:24Z)
• Forecasting the risk of software choices: A model to foretell security vulnerabilities from library dependencies and source code evolution [4.538870924201896]
  図書館レベルでの脆弱性予測が可能なモデルを提案する。 我々のモデルは、将来の時間帯でソフトウェアプロジェクトがCVEの開示に直面する確率を推定することができる。
  論文  参考訳（メタデータ） (2024-11-17T23:36:27Z)
• A Risk Estimation Study of Native Code Vulnerabilities in Android Applications [1.6078134198754157]
  我々は,Androidアプリケーションのネイティブな部分に関連するリスクスコアを提供する,高速なリスクベースのアプローチを提案する。 多くのアプリケーションには、誤信が潜在的に悪用する可能性のある、よく知られた脆弱性が含まれていることが示されています。
  論文  参考訳（メタデータ） (2024-06-04T06:44:07Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
  サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。 悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。 ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
  論文  参考訳（メタデータ） (2024-04-27T16:35:02Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
  我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。 我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。 ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
  論文  参考訳（メタデータ） (2023-12-21T01:08:39Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• Demystifying RCE Vulnerabilities in LLM-Integrated Apps [20.01949990700702]
  LangChainのようなフレームワークはLLM統合アプリ開発を支援し、カスタムアクションのためのコード実行ユーティリティ/APIを提供する。 これらの機能は理論的にはリモートコード実行(RCE)脆弱性を導入し、プロンプトインジェクションによるリモートコード実行を可能にする。 以前の研究では、これらのフレームワークのRCE脆弱性や、アプリケーションやエクスプロイトの影響を体系的に調査することはなかった。
  論文  参考訳（メタデータ） (2023-09-06T11:39:37Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。