論文の概要: SBOM Generation Tools in the Python Ecosystem: an In-Detail Analysis
- arxiv url: http://arxiv.org/abs/2409.01214v1
- Date: Mon, 2 Sep 2024 12:48:10 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-06 06:47:21.062850
- Title: SBOM Generation Tools in the Python Ecosystem: an In-Detail Analysis
- Title(参考訳): PythonエコシステムにおけるSBOM生成ツール:詳細分析
- Authors: Serena Cofano, Giacomo Benedetti, Matteo Dell'Amico,
- Abstract要約: 我々はCycloneDX標準を用いて4つの人気のあるSBOM生成ツールを分析する。
依存関係のバージョン、メタデータファイル、リモート依存関係、オプションの依存関係に関する問題を強調します。
PyPIエコシステムにおけるメタデータの標準の欠如による体系的な問題を特定する。
- 参考スコア(独自算出の注目度): 2.828503885204035
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Software Bills of Material (SBOMs), which improve transparency by listing the components constituting software, are a key countermeasure to the mounting problem of Software Supply Chain attacks. SBOM generation tools take project source files and provide an SBOM as output, interacting with the software ecosystem. While SBOMs are a substantial improvement for security practitioners, providing a complete and correct SBOM is still an open problem. This paper investigates the causes of the issues affecting SBOM completeness and correctness, focusing on the PyPI ecosystem. We analyze four popular SBOM generation tools using the CycloneDX standard. Our analysis highlights issues related to dependency versions, metadata files, remote dependencies, and optional dependencies. Additionally, we identified a systematic issue with the lack of standards for metadata in the PyPI ecosystem. This includes inconsistencies in the presence of metadata files as well as variations in how their content is formatted.
- Abstract(参考訳): SBOM(Software Bills of Materials)は、ソフトウェアを構成するコンポーネントをリストアップすることで透明性を向上させるもので、ソフトウェアサプライチェーン攻撃の実施問題に対する重要な対策である。
SBOM生成ツールは、プロジェクトソースファイルを取り込み、SBOMを出力として提供し、ソフトウェアエコシステムと相互作用する。
SBOMはセキュリティ実践者にとって大幅に改善されているが、完全かつ正しいSBOMを提供することは依然として未解決の問題である。
本稿では,SBOMの完全性と正しさに影響を及ぼす問題の原因をPyPIエコシステムに焦点をあてて検討する。
我々はCycloneDX標準を用いて4つの人気のあるSBOM生成ツールを分析する。
私たちの分析では、依存関係のバージョン、メタデータファイル、リモート依存関係、オプションの依存関係に関する問題を取り上げています。
さらに,PyPIエコシステムにおけるメタデータの標準が欠如していることから,体系的な問題を見出した。
これにはメタデータファイルの存在の矛盾や、コンテンツのフォーマットのバリエーションが含まれている。
関連論文リスト
- Software Bills of Materials in Maven Central [9.699225997570384]
開発者がSoftware Bills of Materials(SBOM)を配布する方法については、ほとんど知識がない。
Maven CentralからSBOMを抽出し、開発者がSBOMをアーティファクトとともに公開する範囲を評価する。
本稿では,SBOMの出版に関する新たな知見とともに,SBOMの収集方法について述べる。
論文 参考訳(メタデータ) (2025-01-23T16:56:40Z) - SWE-Fixer: Training Open-Source LLMs for Effective and Efficient GitHub Issue Resolution [56.9361004704428]
大規模言語モデル(LLM)は、様々な複雑なタスクにまたがる顕著な習熟度を示している。
SWE-Fixerは、GitHubの問題を効果的かつ効率的に解決するために設計された、新しいオープンソースフレームワークである。
我々は,SWE-Bench LiteとVerifiedベンチマークに対するアプローチを評価し,オープンソースモデル間の最先端性能を実現する。
論文 参考訳(メタデータ) (2025-01-09T07:54:24Z) - PyPulse: A Python Library for Biosignal Imputation [58.35269251730328]
PyPulseは,臨床およびウェアラブルの両方のセンサ設定において生体信号の計算を行うPythonパッケージである。
PyPulseのフレームワークは、非機械学習バイオリサーバーを含む幅広いユーザーベースに対して、使い勝手の良いモジュラーで拡張可能なフレームワークを提供する。
PyPulseはMITライセンスでGithubとPyPIでリリースしました。
論文 参考訳(メタデータ) (2024-12-09T11:00:55Z) - Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
本研究は,SBOMの完全性に関する詳細な,体系的な研究である。
論文 参考訳(メタデータ) (2024-12-06T15:52:12Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - StableToolBench: Towards Stable Large-Scale Benchmarking on Tool Learning of Large Language Models [74.88844320554284]
ToolBenchから進化したベンチマークであるStableToolBenchを紹介します。
仮想APIサーバには、キャッシングシステムとAPIシミュレータが含まれており、APIステータスの変更を緩和するための補完となる。
安定評価システムは、GPT-4を自動評価器として使用し、評価中のランダム性を排除し、解決可能なパスと勝利率を設計する。
論文 参考訳(メタデータ) (2024-03-12T14:57:40Z) - Malicious Package Detection using Metadata Information [0.272760415353533]
本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。
MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。
実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
論文 参考訳(メタデータ) (2024-02-12T06:54:57Z) - Automatic Bill of Materials [5.14387789987357]
ABOMはそれぞれの異なる入力ソースコードファイルのハッシュをコンパイラが出力するバイナリに埋め込む。
エコシステム全体で活用すれば、ABOMは高速サプライチェーンアタック検出のためのゼロタッチ、後方互換性、ドロップインソリューションを提供する。
論文 参考訳(メタデータ) (2023-10-15T05:48:11Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - S3M: Siamese Stack (Trace) Similarity Measure [55.58269472099399]
本稿では、深層学習に基づくスタックトレースの類似性を計算する最初のアプローチであるS3Mを紹介します。
BiLSTMエンコーダと、類似性を計算するための完全接続型分類器をベースとしている。
私たちの実験は、オープンソースデータとプライベートなJetBrainsデータセットの両方において、最先端のアプローチの優位性を示しています。
論文 参考訳(メタデータ) (2021-03-18T21:10:41Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。