論文の概要: OmniBOR: A System for Automatic, Verifiable Artifact Resolution across
Software Supply Chains
- arxiv url: http://arxiv.org/abs/2402.08980v1
- Date: Wed, 14 Feb 2024 06:50:16 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-15 16:29:18.468457
- Title: OmniBOR: A System for Automatic, Verifiable Artifact Resolution across
Software Supply Chains
- Title(参考訳): OmniBOR: ソフトウェアサプライチェーン間で自動で検証可能なアーティファクト解決システム
- Authors: Bharathi Seshadri, Yongkui Han, Chris Olson, David Pollak, Vojislav
Tomasevic
- Abstract要約: OmniBORは、アーティファクト依存グラフを作成するためのビルドツールのための最小限のスキームである。
我々は,OmniBORのアーキテクチャ,基礎となるデータ表現,およびOmniBORデータを生成して構築されたソフトウェアに組み込む2つの実装を紹介する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Software supply chain attacks, which exploit the build process or artifacts
used in the process of building a software product, are increasingly of
concern. To combat these attacks, one must be able to check that every artifact
that a software product depends on does not contain vulnerabilities. In this
paper, we introduce OmniBOR, (Universal Bill of Receipts) a minimalistic scheme
for build tools to create an artifact dependency graph which can be used to
track every software artifact incorporated into a built software product. We
present the architecture of OmniBOR, the underlying data representations, and
two implementations that produce OmniBOR data and embed an OmniBOR Identifier
into built software, including a compiler-based approach and one based on
tracing the build process. We demonstrate the efficacy of this approach on
benchmarks including a Linux distribution for applications such as Common
Vulnerabilities and Exposures (CVE) detection and software bill of materials
(SBOM) computation.
- Abstract(参考訳): ソフトウェア製品を構築するプロセスで使用されるビルドプロセスやアーティファクトを利用するソフトウェアサプライチェーン攻撃は、ますます懸念されている。
これらの攻撃と戦うためには、ソフトウェア製品が依存するすべてのアーティファクトが脆弱性を含まないことをチェックする必要がある。
本稿では,OmniBOR(Universal Bill of Receipts)を紹介し,ビルドツールが構築したソフトウェア製品に組み込まれたすべてのソフトウェアアーティファクトを追跡可能なアーティファクト依存グラフを作成するための最小限のスキームを提案する。
我々は、OmniBORのアーキテクチャ、基礎となるデータ表現、およびOmniBORデータを生成し、OmniBOR識別子をコンパイラベースのアプローチとビルドプロセスのトレースに基づくソフトウェアに組み込む2つの実装について述べる。
CVE(Common Vulnerabilities and Exposures)検出やSBOM(Software Bill of Materials)計算などのアプリケーション用のLinuxディストリビューションを含むベンチマーク上で,このアプローチの有効性を示す。
関連論文リスト
- The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Designing and Implementing a Generator Framework for a SIMD Abstraction Library [53.84310825081338]
SIMD抽象化ライブラリを生成するための新しいエンドツーエンドフレームワークであるTSLGenを提案する。
私たちのフレームワークは既存のライブラリに匹敵するもので、同じパフォーマンスを実現しています。
論文 参考訳(メタデータ) (2024-07-26T13:25:38Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - Automating SBOM Generation with Zero-Shot Semantic Similarity [2.169562514302842]
Software-Bill-of-Materials (SBOM)は、ソフトウェアアプリケーションのコンポーネントと依存関係を詳述した総合的なインベントリである。
本稿では,破壊的なサプライチェーン攻撃を防止するため,SBOMを自動生成する手法を提案する。
テスト結果は説得力があり、ゼロショット分類タスクにおけるモデルの性能を示す。
論文 参考訳(メタデータ) (2024-02-03T18:14:13Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - TRIAD: Automated Traceability Recovery based on Biterm-enhanced
Deduction of Transitive Links among Artifacts [53.92293118080274]
トレーサビリティにより、ステークホルダは、ソフトウェアライフサイクル全体で導入されたソフトウェアアーティファクト間のトレースリンクを抽出し、理解することができます。
ほとんどの場合、Information Retrieval (IR) など、ソフトウェアアーティファクト間のテキストの類似性に依存している。
論文 参考訳(メタデータ) (2023-12-28T06:44:24Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - A New Era in Software Security: Towards Self-Healing Software via Large Language Models and Formal Verification [8.733354577147093]
本稿では,Large Language Models(LLM)とFormal Verification戦略を組み合わせたソフトウェア脆弱性の自動修復手法を提案する。
我々は、ESBMC-AIフレームワークを概念実証として、よく認識され、業界に受け入れられたSMTベースのコンテキスト境界モデルチェッカー(ESBMC)と事前訓練されたトランスフォーマーモデルを活用する。
本研究は,バッファオーバーフローや演算オーバーフロー,ポインタ参照障害などの問題を高精度に検出および修正するESBMC-AIの機能を示すものである。
論文 参考訳(メタデータ) (2023-05-24T05:54:10Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z) - S3M: Siamese Stack (Trace) Similarity Measure [55.58269472099399]
本稿では、深層学習に基づくスタックトレースの類似性を計算する最初のアプローチであるS3Mを紹介します。
BiLSTMエンコーダと、類似性を計算するための完全接続型分類器をベースとしている。
私たちの実験は、オープンソースデータとプライベートなJetBrainsデータセットの両方において、最先端のアプローチの優位性を示しています。
論文 参考訳(メタデータ) (2021-03-18T21:10:41Z) - Underproduction: An Approach for Measuring Risk in Open Source Software [9.701036831490766]
「アンダープロダクション」は、ソフトウェアエンジニアリングの労働力の供給が、生産されたソフトウェアに依存している人々の要求と一致しないときに起こる。
本稿では、ソフトウェアにおける相対的アンダープロダクションを特定するための概念的フレームワークと、我々のフレームワークを包括的データセットに適用するための統計的手法を提案する。
論文 参考訳(メタデータ) (2021-02-27T23:18:21Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。