論文の概要: A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM)
- arxiv url: http://arxiv.org/abs/2402.11151v1
- Date: Sat, 17 Feb 2024 00:36:20 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-20 22:59:57.057586
- Title: A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM)
- Title(参考訳): SBOM(Software Bill of Materials)におけるオープンソースとプロプライエタリツールの景観調査
- Authors: Mehdi Mirakhorli, Derek Garcia, Schuyler Dillon, Kevin Laporte,
Matthew Morrison, Henry Lu, Viktoria Koscinski, Christopher Enoch
- Abstract要約: Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
- 参考スコア(独自算出の注目度): 3.1190983209295076
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Modern software applications heavily rely on diverse third-party components,
libraries, and frameworks sourced from various vendors and open source
repositories, presenting a complex challenge for securing the software supply
chain. To address this complexity, the adoption of a Software Bill of Materials
(SBOM) has emerged as a promising solution, offering a centralized repository
that inventories all third-party components and dependencies used in an
application. Recent supply chain breaches, exemplified by the SolarWinds
attack, underscore the urgent need to enhance software security and mitigate
vulnerability risks, with SBOMs playing a pivotal role in this endeavor by
revealing potential vulnerabilities, outdated components, and unsupported
elements. This research paper conducts an extensive empirical analysis to
assess the current landscape of open-source and proprietary tools related to
SBOM. We investigate emerging use cases in software supply chain security and
identify gaps in SBOM technologies. Our analysis encompasses 84 tools,
providing a snapshot of the current market and highlighting areas for
improvement.
- Abstract(参考訳): 現代のソフトウェアアプリケーションは、様々なベンダーやオープンソースリポジトリから派生した多様なサードパーティのコンポーネント、ライブラリ、フレームワークに大きく依存しており、ソフトウェアサプライチェーンを確保するための複雑な課題を提示している。
この複雑さに対処するため、Software Bill of Materials(SBOM)の採用が有望なソリューションとして現れ、アプリケーションで使用されるすべてのサードパーティコンポーネントと依存関係を発明する集中リポジトリを提供する。
最近SolarWinds攻撃によって実証されたサプライチェーンの侵害は、ソフトウェアセキュリティを強化し、脆弱性リスクを軽減する緊急の必要性を強調し、SBOMは潜在的な脆弱性、時代遅れのコンポーネント、およびサポート要素を明らかにすることで、この取り組みにおいて重要な役割を果たす。
本研究では、SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するために、広範な実証分析を行う。
ソフトウェアサプライチェーンのセキュリティにおける新たなユースケースを調査し,SBOM技術のギャップを特定する。
分析には84のツールが含まれており、現在の市場のスナップショットを提供し、改善すべき領域を強調しています。
関連論文リスト
- Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。
悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。
ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
論文 参考訳(メタデータ) (2024-04-27T16:35:02Z) - DevPhish: Exploring Social Engineering in Software Supply Chain Attacks
on Developers [0.25729063928675466]
敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。
本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
論文 参考訳(メタデータ) (2024-02-28T15:24:43Z) - OmniBOR: A System for Automatic, Verifiable Artifact Resolution across
Software Supply Chains [0.0]
OmniBORは、アーティファクト依存グラフを作成するためのビルドツールのための最小限のスキームである。
我々は,OmniBORのアーキテクチャ,基礎となるデータ表現,およびOmniBORデータを生成して構築されたソフトウェアに組み込む2つの実装を紹介する。
論文 参考訳(メタデータ) (2024-02-14T06:50:16Z) - Trust in Software Supply Chains: Blockchain-Enabled SBOM and the AIBOM
Future [28.67753149592534]
本研究では、SBOM共有のためのブロックチェーンを活用したアーキテクチャを導入し、検証可能な認証情報を活用して、選択的な開示を可能にする。
本稿では、AIシステムを含むSBOMの限界を広げ、AI Bill of Materials(AIBOM)という用語を創出する。
論文 参考訳(メタデータ) (2023-07-05T07:56:48Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Software supply chain: review of attacks, risk assessment strategies and
security controls [0.13812010983144798]
ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。
我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。
本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
論文 参考訳(メタデータ) (2023-05-23T15:25:39Z) - Will bots take over the supply chain? Revisiting Agent-based supply
chain automation [71.77396882936951]
エージェントベースのサプライチェーンは2000年初頭から提案されている。
エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。
例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
論文 参考訳(メタデータ) (2021-09-03T18:44:26Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - SafePILCO: a software tool for safe and data-efficient policy synthesis [67.17251247987187]
SafePILCOは、強化学習による安全でデータ効率のよいポリシー検索のためのソフトウェアツールである。
これは、Pythonで書かれた既知のPILCOアルゴリズムを拡張し、安全な学習をサポートする。
論文 参考訳(メタデータ) (2020-08-07T17:17:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。