論文の概要: Signing in Four Public Software Package Registries: Quantity, Quality, and Influencing Factors
- arxiv url: http://arxiv.org/abs/2401.14635v2
- Date: Sun, 14 Apr 2024 21:10:25 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-16 22:38:10.021145
- Title: Signing in Four Public Software Package Registries: Quantity, Quality, and Influencing Factors
- Title(参考訳): 公開ソフトウェアパッケージレジストリ4つの署名:量、品質、影響要因
- Authors: Taylor R Schorlemmer, Kelechi G Kalu, Luke Chigges, Kyung Myung Ko, Eman Abu Isghair, Saurabh Baghi, Santiago Torres-Arias, James C Davis,
- Abstract要約: パッケージメンテナは、ソフトウェア署名を通じてパッケージオーサシップを保証できる。
この慣習がどの程度一般的か、結果のシグネチャが適切に作成されるかどうかは不明である。
- 参考スコア(独自算出の注目度): 4.944550691418216
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Many software applications incorporate open-source third-party packages distributed by public package registries. Guaranteeing authorship along this supply chain is a challenge. Package maintainers can guarantee package authorship through software signing. However, it is unclear how common this practice is, and whether the resulting signatures are created properly. Prior work has provided raw data on registry signing practices, but only measured single platforms, did not consider quality, did not consider time, and did not assess factors that may influence signing. We do not have up-to-date measurements of signing practices nor do we know the quality of existing signatures. Furthermore, we lack a comprehensive understanding of factors that influence signing adoption. This study addresses this gap. We provide measurements across three kinds of package registries: traditional software (Maven, PyPI), container images (DockerHub), and machine learning models (Hugging Face). For each registry, we describe the nature of the signed artifacts as well as the current quantity and quality of signatures. Then, we examine longitudinal trends in signing practices. Finally, we use a quasi-experiment to estimate the effect that various factors had on software signing practices. To summarize our findings: (1) mandating signature adoption improves the quantity of signatures; (2) providing dedicated tooling improves the quality of signing; (3) getting started is the hard part -- once a maintainer begins to sign, they tend to continue doing so; and (4) although many supply chain attacks are mitigable via signing, signing adoption is primarily affected by registry policy rather than by public knowledge of attacks, new engineering standards, etc. These findings highlight the importance of software package registry managers and signing infrastructure.
- Abstract(参考訳): 多くのソフトウェアアプリケーションは、パブリックパッケージレジストリによって配布されるオープンソースのサードパーティパッケージを組み込んでいる。
このサプライチェーンに沿った著者の確保は課題である。
パッケージメンテナは、ソフトウェア署名を通じてパッケージオーサシップを保証できる。
しかし、この慣行がどの程度一般的か、結果のシグネチャが適切に作成されているかは定かではない。
以前の作業では、レジストリ署名のプラクティスに関する生のデータを提供していたが、品質を考慮せず、時間も考慮せず、署名に影響を与える可能性のある要因も評価していなかった。
署名のプラクティスの最新の測定は行いませんし、既存の署名の品質も分かっていません。
さらに、署名の採用に影響を与える要因の包括的な理解も欠如しています。
この研究はこのギャップに対処する。
従来のソフトウェア(Maven、PyPI)、コンテナイメージ(DockerHub)、マシンラーニングモデル(Hugging Face)の3種類のパッケージレジストリの測定結果を提供しています。
各レジストリについて、署名されたアーティファクトの性質と、署名の現在の量と品質を説明します。
次に,署名実践における縦断的傾向について検討する。
最後に、準実験を用いて、さまざまな要因がソフトウェア署名プラクティスに与える影響を見積もる。
1)署名の導入を強制することが署名の量を改善すること、(2)専用のツールを提供することで署名の質が向上すること、(3)開始が難しいこと、(3)保守者が署名し始めると、それを継続する傾向があること、(4)多くのサプライチェーン攻撃は署名によって軽減されるが、署名の採用は、攻撃の公的な知識や新しいエンジニアリング標準などよりも、レジストリポリシーによって主に影響を受ける。
これらの調査結果は,ソフトウェアパッケージレジストリマネージャと署名インフラストラクチャの重要性を浮き彫りにしたものだ。
関連論文リスト
- Revocable Quantum Digital Signatures [57.25067425963082]
我々は、LWE仮定から取り消し可能な署名キーでデジタル署名を定義し、構築する。
このプリミティブでは、署名キーは、ユーザーが多くのメッセージに署名できる量子状態である。
一度キーが取り消されたら、キーの最初の受信者が署名する能力を失うことを要求します。
論文 参考訳(メタデータ) (2023-12-21T04:10:07Z) - FedSOV: Federated Model Secure Ownership Verification with Unforgeable
Signature [60.99054146321459]
フェデレートラーニングにより、複数のパーティがプライベートデータを公開せずにグローバルモデルを学ぶことができる。
本稿では,FedSOVという暗号署名に基づくフェデレート学習モデルのオーナシップ検証手法を提案する。
論文 参考訳(メタデータ) (2023-05-10T12:10:02Z) - SignBERT+: Hand-model-aware Self-supervised Pre-training for Sign
Language Understanding [132.78015553111234]
手の動きは手話の表現において重要な役割を担っている。
現在,手話理解(SLU)の深層学習手法は,手話データ資源の不足により過度に適合する傾向にある。
モデル認識ハンドを組み込んだ初の自己教師型事前学習型SignBERT+フレームワークを提案する。
論文 参考訳(メタデータ) (2023-05-08T17:16:38Z) - Secure access system using signature verification over tablet PC [62.21072852729544]
我々は,シグネチャ検証を用いたWebベースのセキュアアクセスのための,高度に汎用的でスケーラブルなプロトタイプについて述べる。
提案アーキテクチャは,様々な種類のセンサや大規模データベースで動作するように容易に拡張することができる。
論文 参考訳(メタデータ) (2023-01-11T11:05:47Z) - Quotable Signatures for Authenticating Shared Quotes [0.8875650122536799]
引用可能なシグネチャスキームは、メッセージのシグネチャからメッセージから(許容可能な)引用のシグネチャを抽出できるという付加的な特性を持つデジタルシグネチャスキームである。
クオータブルシグネチャスキームのセキュリティの概念を定義し、クオータブルシグネチャスキームの具体例を構築する。
引用可能なシグネチャの使用方法と、それを使用することによって偽ニュースの影響を緩和できる理由の両方について検討する。
論文 参考訳(メタデータ) (2022-12-21T12:07:46Z) - Automatic dense annotation of large-vocabulary sign language videos [85.61513254261523]
自動アノテーションの密度を大幅に高めるための,シンプルでスケーラブルなフレームワークを提案する。
これらのアノテーションは手話研究コミュニティをサポートするために公開されています。
論文 参考訳(メタデータ) (2022-08-04T17:55:09Z) - Don't Forget to Sign the Gradients! [60.98885980669777]
GradSignsはディープニューラルネットワーク(DNN)のための新しい透かしフレームワーク
深部ニューラルネットワーク(DNN)のための新しい透かしフレームワークであるGradSignsを紹介します。
論文 参考訳(メタデータ) (2021-03-05T14:24:32Z) - Signing Information in the Quantum Era [0.0]
我々は、デジタル署名方式をレビューし、その起源と、それらが脅かされている場所について検討する。
本稿では,量子アルゴリズムの脅威を緩和する目的で開発されたポスト量子デジタルスキームを紹介する。
最後に、保証可能なセキュリティ指標を約束する量子チャネル上での署名情報に関するスキームをレビューする。
論文 参考訳(メタデータ) (2020-09-25T10:44:36Z) - FCN+RL: A Fully Convolutional Network followed by Refinement Layers to
Offline Handwritten Signature Segmentation [3.3144312096837325]
そこで本研究では,手書き署名の画素の識別と抽出を行う手法を提案する。
この技術は、完全な畳み込みエンコーダ・デコーダネットワークと、予測された画像のアルファチャネルのための洗練されたレイヤのブロックを組み合わせたものである。
論文 参考訳(メタデータ) (2020-05-28T18:47:10Z) - Offline Signature Verification on Real-World Documents [9.271640666465363]
正式な文書から抽出された署名には、スタンプ、会社のシール、支配線、署名ボックスなど、さまざまな種類の隠蔽が含まれている。
本稿では,現実の作家によるオフライン署名検証問題に対処し,銀行の顧客の取引要求文書に隠蔽された署名を記載した文書をクリーンリファレンス署名と比較する。
提案手法は,CycleGANに基づくスタンプクリーニング法とCNNに基づくシグネチャ表現の2つの主成分からなる。
論文 参考訳(メタデータ) (2020-04-25T10:28:03Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。