論文の概要: Ambush from All Sides: Understanding Security Threats in Open-Source Software CI/CD Pipelines

• arxiv url: http://arxiv.org/abs/2401.17606v1
• Date: Wed, 31 Jan 2024 05:24:23 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 12:08:11.103005
• Title: Ambush from All Sides: Understanding Security Threats in Open-Source Software CI/CD Pipelines
• Title（参考訳）: あらゆる面からのAmbush: オープンソースソフトウェアCI/CDパイプラインにおけるセキュリティ脅威の理解
• Authors: Ziyue Pan, Wenbo Shen, Xingkai Wang, Yutian Yang, Rui Chang, Yao Liu, Chengwei Liu, Yang Liu, Kui Ren,
• Abstract要約: 継続的インテグレーションと継続的デプロイメント(CI/CD)パイプラインは、GitHubなどのインターネットホスティングプラットフォームで広く採用されている。 CI/CDパイプラインの人気により、さまざまなセキュリティ脅威に直面している。 本稿では,CI/CDパイプラインの攻撃面を明らかにするため,大規模計測と系統解析を行う。
• 参考スコア（独自算出の注目度）: 16.363215679867967
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The continuous integration and continuous deployment (CI/CD) pipelines are widely adopted on Internet hosting platforms, such as GitHub. With the popularity, the CI/CD pipeline faces various security threats. However, current CI/CD pipelines suffer from malicious code and severe vulnerabilities. Even worse, people have not been fully aware of its attack surfaces and the corresponding impacts. Therefore, in this paper, we conduct a large-scale measurement and a systematic analysis to reveal the attack surfaces of the CI/CD pipeline and quantify their security impacts. Specifically, for the measurement, we collect a data set of 320,000+ CI/CD pipeline-configured GitHub repositories and build an analysis tool to parse the CI/CD pipelines and extract security-critical usages. Besides, current CI/CD ecosystem heavily relies on several core scripts, which may lead to a single point of failure. While the CI/CD pipelines contain sensitive information/operations, making them the attacker's favorite targets. Inspired by the measurement findings, we abstract the threat model and the attack approach toward CI/CD pipelines, followed by a systematic analysis of attack surfaces, attack strategies, and the corresponding impacts. We further launch case studies on five attacks in real-world CI/CD environments to validate the revealed attack surfaces. Finally, we give suggestions on mitigating attacks on CI/CD scripts, including securing CI/CD configurations, securing CI/CD scripts, and improving CI/CD infrastructure.
• Abstract（参考訳）: 継続的インテグレーションと継続的デプロイメント(CI/CD)パイプラインは、GitHubなどのインターネットホスティングプラットフォームで広く採用されている。 CI/CDパイプラインの人気により、さまざまなセキュリティ脅威に直面している。 しかし、現在のCI/CDパイプラインは悪意のあるコードと深刻な脆弱性に悩まされている。 さらに悪いことに、人々は攻撃面とそれに対応する影響を十分に認識していない。 そこで本稿では,CI/CDパイプラインの攻撃面を明らかにし,セキュリティへの影響を定量化するために,大規模測定と系統解析を行う。 具体的には、32万以上のCI/CDパイプライン構成のGitHubリポジトリのデータセットを収集し、CI/CDパイプラインを解析してセキュリティクリティカルな使用例を抽出するための分析ツールを構築します。 さらに、現在のCI/CDエコシステムは、いくつかのコアスクリプトに大きく依存しているため、単一障害点につながる可能性がある。 CI/CDパイプラインには機密情報/運用が含まれており、攻撃者のお気に入りのターゲットとなっている。 測定結果から着想を得て,CI/CDパイプラインに対する脅威モデルと攻撃アプローチを抽象化し,続いて攻撃面,攻撃戦略,およびそれに対応する影響の系統的解析を行った。 さらに,実世界のCI/CD環境における5つの攻撃のケーススタディをローンチし,攻撃面を検証した。 最後に、CI/CD設定のセキュア化、CI/CDスクリプトのセキュア化、CI/CDインフラストラクチャの改善など、CI/CDスクリプトに対する攻撃の軽減について提案する。

関連論文リスト

• Advancing Software Security and Reliability in Cloud Platforms through AI-based Anomaly Detection [0.5599792629509228]
  この研究は、AIサポートによる異常検出を実装することにより、CI/CDパイプラインのセキュリティを向上させることを目的としている。 目標は、パイプラインとクラウドプラットフォームのネットワークトラフィックパターンから、異常な振る舞いやバリエーションを特定することだ。 コンボリューションニューラルネットワーク(CNN)とLong Short-Term Memory(LSTM)を組み合わせて,異常なトラフィックパターンを検出する。
  論文  参考訳（メタデータ） (2024-11-14T05:45:55Z)
• CI/CD Configuration Practices in Open-Source Android Apps: An Empirical Study [0.1433758865948252]
  2,564のAndroidアプリで,継続的インテグレーションと継続的デリバリのプラクティスに関する実証的研究を行います。 プロジェクトやサービス間で共通性や標準が欠如していることが、複雑なYML構成につながります。 我々の研究は、モバイルアプリケーションのCI/CDプロセスを改善するための自動化とAIツールの必要性を強調している。
  論文  参考訳（メタデータ） (2024-11-09T05:46:43Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• SISSA: Real-time Monitoring of Hardware Functional Safety and Cybersecurity with In-vehicle SOME/IP Ethernet Traffic [49.549771439609046]
  本稿では,車内機能安全とサイバーセキュリティをモデル化・解析するためのSOME/IP通信トラフィックベースアプローチであるSISSAを提案する。 具体的には、SISSAはWeibullディストリビューションでハードウェア障害をモデル化し、SOME/IP通信に対する5つの潜在的な攻撃に対処する。 広範囲な実験結果から,SISSAの有効性と有効性が確認された。
  論文  参考訳（メタデータ） (2024-02-21T03:31:40Z)
• Breaking On-Chip Communication Anonymity using Flow Correlation Attacks [2.977255700811213]
  ネットワークオンチップ(NoC)アーキテクチャにおける既存の匿名ルーティングプロトコルのセキュリティ強度について検討する。 既存の匿名ルーティングは、NoCに対する機械学習(ML)ベースのフロー相関攻撃に対して脆弱であることを示す。 本稿では,MLに基づくフロー相関攻撃に対して,トラフィック難読化技術を用いた軽量な匿名ルーティングを提案する。
  論文  参考訳（メタデータ） (2023-09-27T14:32:39Z)
• The Dark Side of AutoML: Towards Architectural Backdoor Search [49.16544351888333]
  EVASはNASを利用した新たな攻撃で、固有のバックドアを持つニューラルネットワークを見つけ出し、入力認識トリガを使用してそのような脆弱性を悪用する。 EVASは高い回避性、転送可能性、堅牢性を特徴とし、敵の設計スペクトルを拡大する。 この研究は、NASの現在の実践に対する懸念を高め、効果的な対策を開発するための潜在的方向性を示す。
  論文  参考訳（メタデータ） (2022-10-21T18:13:23Z)
• EPASAD: Ellipsoid decision boundary based Process-Aware Stealthy Attack Detector [9.002791610276834]
  PASADでマイクロステルス攻撃を検出する技術を改善するEPASADを提案する。 EPASAD法は楕円体境界を用いてこれを克服し,様々な次元の境界をきつくする。 その結果、EPASADはPASADの平均リコールを5.8%改善し、2つのデータセットに対して9.5%改善した。
  論文  参考訳（メタデータ） (2022-04-08T16:06:10Z)
• Generalizing Cross-Document Event Coreference Resolution Across Multiple Corpora [63.429307282665704]
  クロスドキュメントイベントコア参照解決(CDCR)は、文書の集合全体にわたってイベントの特定とクラスタ化を行う必要があるNLPタスクである。 CDCRは、下流のマルチドキュメントアプリケーションに利益をもたらすことを目標としているが、CDCRの適用による改善はまだ示されていない。 これまでのCDCRシステムは,1つのコーパスでのみ開発,トレーニング,テストが行われた。
  論文  参考訳（メタデータ） (2020-11-24T17:45:03Z)
• Measurement-driven Security Analysis of Imperceptible Impersonation Attacks [54.727945432381716]
  本稿では,ディープニューラルネットワークを用いた顔認識システムの実用性について検討する。 皮膚の色,性別,年齢などの要因が,特定の標的に対する攻撃を行う能力に影響を及ぼすことを示す。 また,攻撃者の顔のさまざまなポーズや視点に対して堅牢なユニバーサルアタックを構築する可能性についても検討した。
  論文  参考訳（メタデータ） (2020-08-26T19:27:27Z)
• Searching Central Difference Convolutional Networks for Face Anti-Spoofing [68.77468465774267]
  顔認識システムにおいて、顔の反偽造(FAS)が重要な役割を担っている。 最先端のFASメソッドの多くは、スタック化された畳み込みと専門家が設計したネットワークに依存している。 ここでは、中央差分畳み込み(CDC)に基づくフレームレベルの新しいFAS手法を提案する。
  論文  参考訳（メタデータ） (2020-03-09T12:48:37Z)
• A Content-Based Deep Intrusion Detection System [12.590415345079995]
  本稿では,トラフィックメタデータに加えて,トラフィックフローの純粋な内容を利用するディープ侵入検出(DID)システムを提案する。 この目的のために,LSTMをディープラーニング手法として,フレームワークに従ってオフラインIDSをデプロイし,評価する。
  論文  参考訳（メタデータ） (2020-01-14T19:08:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。