論文の概要: Signing in Four Public Software Package Registries: Quantity, Quality, and Influencing Factors
- arxiv url: http://arxiv.org/abs/2401.14635v2
- Date: Sun, 14 Apr 2024 21:10:25 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-16 22:38:10.021145
- Title: Signing in Four Public Software Package Registries: Quantity, Quality, and Influencing Factors
- Title(参考訳): 公開ソフトウェアパッケージレジストリ4つの署名:量、品質、影響要因
- Authors: Taylor R Schorlemmer, Kelechi G Kalu, Luke Chigges, Kyung Myung Ko, Eman Abu Isghair, Saurabh Baghi, Santiago Torres-Arias, James C Davis,
- Abstract要約: パッケージメンテナは、ソフトウェア署名を通じてパッケージオーサシップを保証できる。
この慣習がどの程度一般的か、結果のシグネチャが適切に作成されるかどうかは不明である。
- 参考スコア(独自算出の注目度): 4.944550691418216
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Many software applications incorporate open-source third-party packages distributed by public package registries. Guaranteeing authorship along this supply chain is a challenge. Package maintainers can guarantee package authorship through software signing. However, it is unclear how common this practice is, and whether the resulting signatures are created properly. Prior work has provided raw data on registry signing practices, but only measured single platforms, did not consider quality, did not consider time, and did not assess factors that may influence signing. We do not have up-to-date measurements of signing practices nor do we know the quality of existing signatures. Furthermore, we lack a comprehensive understanding of factors that influence signing adoption. This study addresses this gap. We provide measurements across three kinds of package registries: traditional software (Maven, PyPI), container images (DockerHub), and machine learning models (Hugging Face). For each registry, we describe the nature of the signed artifacts as well as the current quantity and quality of signatures. Then, we examine longitudinal trends in signing practices. Finally, we use a quasi-experiment to estimate the effect that various factors had on software signing practices. To summarize our findings: (1) mandating signature adoption improves the quantity of signatures; (2) providing dedicated tooling improves the quality of signing; (3) getting started is the hard part -- once a maintainer begins to sign, they tend to continue doing so; and (4) although many supply chain attacks are mitigable via signing, signing adoption is primarily affected by registry policy rather than by public knowledge of attacks, new engineering standards, etc. These findings highlight the importance of software package registry managers and signing infrastructure.
- Abstract(参考訳): 多くのソフトウェアアプリケーションは、パブリックパッケージレジストリによって配布されるオープンソースのサードパーティパッケージを組み込んでいる。
このサプライチェーンに沿った著者の確保は課題である。
パッケージメンテナは、ソフトウェア署名を通じてパッケージオーサシップを保証できる。
しかし、この慣行がどの程度一般的か、結果のシグネチャが適切に作成されているかは定かではない。
以前の作業では、レジストリ署名のプラクティスに関する生のデータを提供していたが、品質を考慮せず、時間も考慮せず、署名に影響を与える可能性のある要因も評価していなかった。
署名のプラクティスの最新の測定は行いませんし、既存の署名の品質も分かっていません。
さらに、署名の採用に影響を与える要因の包括的な理解も欠如しています。
この研究はこのギャップに対処する。
従来のソフトウェア(Maven、PyPI)、コンテナイメージ(DockerHub)、マシンラーニングモデル(Hugging Face)の3種類のパッケージレジストリの測定結果を提供しています。
各レジストリについて、署名されたアーティファクトの性質と、署名の現在の量と品質を説明します。
次に,署名実践における縦断的傾向について検討する。
最後に、準実験を用いて、さまざまな要因がソフトウェア署名プラクティスに与える影響を見積もる。
1)署名の導入を強制することが署名の量を改善すること、(2)専用のツールを提供することで署名の質が向上すること、(3)開始が難しいこと、(3)保守者が署名し始めると、それを継続する傾向があること、(4)多くのサプライチェーン攻撃は署名によって軽減されるが、署名の採用は、攻撃の公的な知識や新しいエンジニアリング標準などよりも、レジストリポリシーによって主に影響を受ける。
これらの調査結果は,ソフトウェアパッケージレジストリマネージャと署名インフラストラクチャの重要性を浮き彫りにしたものだ。
関連論文リスト
- Quantum digital signature based on single-qubit without a trusted third-party [45.41082277680607]
我々は、よりセキュリティを向上させるために、量子ビット技術のみを頼りにすることなく、新しい量子デジタル署名プロトコルを提案する。
また,このプロトコルは,非対称性,不確定性,拡張性など,他の重要な安全特性を満足する。
論文 参考訳(メタデータ) (2024-10-17T09:49:29Z) - A new approach to delegate signing rights to proxy signers using isogeny-based cryptography [5.662132994900804]
CSI-PS(commutative supersingular isogeny proxy signature)を提案する。
同種性に基づくグループアクション逆問題(IPGA)の硬度下では, uf-cmaが安全であることが証明された。
論文 参考訳(メタデータ) (2024-07-18T09:19:19Z) - An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
多くのサイバーセキュリティフレームワーク、標準、規制は、ソフトウェア署名の使用を推奨している。
最近の調査によると、ソフトウェアシグネチャの採用率と品質は低い。
13の組織にまたがる18の業界実践者に対してインタビューを行った。
論文 参考訳(メタデータ) (2024-06-12T13:30:53Z) - Investigating the Common Authorship of Signatures by Off-Line Automatic Signature Verification Without the Use of Reference Signatures [3.3498759480099856]
本稿では,参照シグネチャが存在しない場合に,自動シグネチャ検証の問題に対処する。
私たちが探求するシナリオは、同じ著者または複数の署名者によって署名される可能性のある署名のセットで構成されています。
オフラインシグネチャの集合の共通オーサシップを自動的に推定する3つの方法について議論する。
論文 参考訳(メタデータ) (2024-05-23T10:30:48Z) - Revocable Quantum Digital Signatures [57.25067425963082]
我々は、LWE仮定から取り消し可能な署名キーでデジタル署名を定義し、構築する。
このプリミティブでは、署名キーは、ユーザーが多くのメッセージに署名できる量子状態である。
一度キーが取り消されたら、キーの最初の受信者が署名する能力を失うことを要求します。
論文 参考訳(メタデータ) (2023-12-21T04:10:07Z) - FedSOV: Federated Model Secure Ownership Verification with Unforgeable
Signature [60.99054146321459]
フェデレートラーニングにより、複数のパーティがプライベートデータを公開せずにグローバルモデルを学ぶことができる。
本稿では,FedSOVという暗号署名に基づくフェデレート学習モデルのオーナシップ検証手法を提案する。
論文 参考訳(メタデータ) (2023-05-10T12:10:02Z) - SignBERT+: Hand-model-aware Self-supervised Pre-training for Sign
Language Understanding [132.78015553111234]
手の動きは手話の表現において重要な役割を担っている。
現在,手話理解(SLU)の深層学習手法は,手話データ資源の不足により過度に適合する傾向にある。
モデル認識ハンドを組み込んだ初の自己教師型事前学習型SignBERT+フレームワークを提案する。
論文 参考訳(メタデータ) (2023-05-08T17:16:38Z) - Secure access system using signature verification over tablet PC [62.21072852729544]
我々は,シグネチャ検証を用いたWebベースのセキュアアクセスのための,高度に汎用的でスケーラブルなプロトタイプについて述べる。
提案アーキテクチャは,様々な種類のセンサや大規模データベースで動作するように容易に拡張することができる。
論文 参考訳(メタデータ) (2023-01-11T11:05:47Z) - Don't Forget to Sign the Gradients! [60.98885980669777]
GradSignsはディープニューラルネットワーク(DNN)のための新しい透かしフレームワーク
深部ニューラルネットワーク(DNN)のための新しい透かしフレームワークであるGradSignsを紹介します。
論文 参考訳(メタデータ) (2021-03-05T14:24:32Z) - FCN+RL: A Fully Convolutional Network followed by Refinement Layers to
Offline Handwritten Signature Segmentation [3.3144312096837325]
そこで本研究では,手書き署名の画素の識別と抽出を行う手法を提案する。
この技術は、完全な畳み込みエンコーダ・デコーダネットワークと、予測された画像のアルファチャネルのための洗練されたレイヤのブロックを組み合わせたものである。
論文 参考訳(メタデータ) (2020-05-28T18:47:10Z) - Offline Signature Verification on Real-World Documents [9.271640666465363]
正式な文書から抽出された署名には、スタンプ、会社のシール、支配線、署名ボックスなど、さまざまな種類の隠蔽が含まれている。
本稿では,現実の作家によるオフライン署名検証問題に対処し,銀行の顧客の取引要求文書に隠蔽された署名を記載した文書をクリーンリファレンス署名と比較する。
提案手法は,CycleGANに基づくスタンプクリーニング法とCNNに基づくシグネチャ表現の2つの主成分からなる。
論文 参考訳(メタデータ) (2020-04-25T10:28:03Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。