Fugu-MT 論文翻訳(概要): GoSurf: Identifying Software Supply Chain Attack Vectors in Go

論文の概要: GoSurf: Identifying Software Supply Chain Attack Vectors in Go

arxiv url: http://arxiv.org/abs/2407.04442v1
Date: Fri, 5 Jul 2024 11:52:27 GMT
ステータス: 処理完了
システム内更新日: 2024-07-08 13:40:23.411224
Title: GoSurf: Identifying Software Supply Chain Attack Vectors in Go
Title（参考訳）: GoSurf:Goにおけるソフトウェアサプライチェーンアタックベクターの特定
Authors: Carmine Cesarano, Vivi Andersson, Roberto Natella, Martin Monperrus,
Abstract要約: 本稿では,Go言語に適した12個の異なる攻撃ベクトルの分類法とそのパッケージライフサイクルを提案する。私たちの研究は、Goエコシステム内のオープンソースのソフトウェアサプライチェーンを確保するための予備的な洞察を提供します。
参考スコア（独自算出の注目度）: 9.91891839872381
License: http://creativecommons.org/licenses/by/4.0/
Abstract: In Go, the widespread adoption of open-source software has led to a flourishing ecosystem of third-party dependencies, which are often integrated into critical systems. However, the reuse of dependencies introduces significant supply chain security risks, as a single compromised package can have cascading impacts. Existing supply chain attack taxonomies overlook language-specific features that can be exploited by attackers to hide malicious code. In this paper, we propose a novel taxonomy of 12 distinct attack vectors tailored for the Go language and its package lifecycle. Our taxonomy identifies patterns in which language-specific Go features, intended for benign purposes, can be misused to propagate malicious code stealthily through supply chains. Additionally, we introduce GoSurf, a static analysis tool that analyzes the attack surface of Go packages according to our proposed taxonomy. We evaluate GoSurf on a corpus of widely used, real-world Go packages. Our work provides preliminary insights for securing the open-source software supply chain within the Go ecosystem, allowing developers and security analysts to prioritize code audit efforts and uncover hidden malicious behaviors.
Abstract（参考訳）: Goでは、オープンソースソフトウェアが広く採用されているため、サードパーティの依存関係のエコシステムが繁栄し、重要なシステムに統合されることが多い。しかし、依存関係の再利用はサプライチェーンのセキュリティ上の重大なリスクをもたらす。既存のサプライチェーン攻撃は、攻撃者が悪意のあるコードを隠すために悪用できる言語固有の特徴を見落としている。本稿では,Go言語とそのパッケージライフサイクルに適した12個の異なる攻撃ベクトルの分類法を提案する。我々の分類学は、言語固有のGoの特徴が悪用され、サプライチェーンを通じて悪意あるコードを密かに伝播するパターンを識別する。さらに,提案した分類基準に従って,Goパッケージの攻撃面を分析する静的解析ツールであるGoSurfを紹介する。広く使われている実世界のGoパッケージのコーパス上でGoSurfを評価する。私たちの研究は、Goエコシステム内のオープンソースのソフトウェアサプライチェーンを確保するための予備的な洞察を提供する。

関連論文リスト

AutoJailbreak: Exploring Jailbreak Attacks and Defenses through a Dependency Lens [83.08119913279488]
本稿では,ジェイルブレイク攻撃と防衛技術における依存関係の体系的解析について述べる。包括的な、自動化された、論理的な3つのフレームワークを提案します。このアンサンブル・ジェイルブレイク・アタックと防衛の枠組みは,既存の研究を著しく上回る結果となった。
論文参考訳（メタデータ） (2024-06-06T07:24:41Z)
OSS Malicious Package Analysis in the Wild [17.028240712650486]
本稿では、散在するオンラインソースから23,425の悪意あるパッケージのデータセットを構築し、キュレートする。次に,OSSマルウェアコーパスを表現し,悪意のあるパッケージ解析を行う知識グラフを提案する。
論文参考訳（メタデータ） (2024-04-07T15:25:13Z)
DevPhish: Exploring Social Engineering in Software Supply Chain Attacks on Developers [0.3754193239793766]
敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
論文参考訳（メタデータ） (2024-02-28T15:24:43Z)
Patch2QL: Discover Cognate Defects in Open Source Software Supply Chain With Auto-generated Static Analysis Rules [1.9591497166224197]
本稿では,SASTルールの自動生成によるOSSのコグネート欠陥の検出手法を提案する。具体的には、プリパッチバージョンとポストパッチバージョンから重要な構文と意味情報を抽出する。我々はPatch2QLというプロトタイプツールを実装し、それをC/C++の基本OSSに適用した。
論文参考訳（メタデータ） (2024-01-23T02:23:11Z)
Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文参考訳（メタデータ） (2023-12-31T14:53:51Z)
Unveiling the Invisible: Detection and Evaluation of Prototype Pollution Gadgets with Dynamic Taint Analysis [4.8966278983718405]
本稿では、開発者がアプリケーションのソフトウェアサプライチェーンにあるガジェットを識別するのに役立つ最初の半自動パイプラインであるDastyを提案する。 DastyはサーバーサイドのNode.jsアプリケーションをターゲットにしており、動的テナント分析の強化に依存している。私たちは、最も依存度の高いNPMパッケージの研究にDastyを使って、ACEにつながるガジェットの存在を分析します。
論文参考訳（メタデータ） (2023-11-07T11:55:40Z)
Exploring Security Practices in Infrastructure as Code: An Empirical Study [54.669404064111795]
クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
論文参考訳（メタデータ） (2023-08-07T23:43:32Z)
Language Model Decoding as Likelihood-Utility Alignment [54.70547032876017]
モデルの有効性がタスク固有の実用性の概念とどのように一致しているかについて、暗黙の仮定に基づいて、デコード戦略をグループ化する分類法を導入する。具体的には、様々なタスクの集合における予測の可能性と有用性の相関を解析することにより、提案された分類を裏付ける最初の実証的証拠を提供する。
論文参考訳（メタデータ） (2022-10-13T17:55:51Z)
Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文参考訳（メタデータ） (2021-09-07T21:24:36Z)
A System for Efficiently Hunting for Cyber Threats in Computer Systems Using Threat Intelligence [78.23170229258162]
ThreatRaptorは、OSCTIを使用してコンピュータシステムにおけるサイバー脅威ハンティングを容易にするシステムです。 ThreatRaptorは、(1)構造化OSCTIテキストから構造化された脅威行動を抽出する非監視で軽量で正確なNLPパイプライン、(2)簡潔で表現力のあるドメイン固有クエリ言語であるTBQLを提供し、悪意のあるシステムアクティビティを探し、(3)抽出された脅威行動からTBQLクエリを自動的に合成するクエリ合成メカニズムを提供する。
論文参考訳（メタデータ） (2021-01-17T19:44:09Z)
Enabling Efficient Cyber Threat Hunting With Cyber Threat Intelligence [94.94833077653998]
ThreatRaptorは、オープンソースのCyber Threat Intelligence(OSCTI)を使用して、コンピュータシステムにおける脅威追跡を容易にするシステムである。構造化されていないOSCTIテキストから構造化された脅威行動を抽出し、簡潔で表現力豊かなドメイン固有クエリ言語TBQLを使用して悪意のあるシステムアクティビティを探索する。広範囲にわたる攻撃事例の評価は、現実的な脅威狩りにおけるThreatRaptorの精度と効率を実証している。
論文参考訳（メタデータ） (2020-10-26T14:54:01Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。