論文の概要: Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions
- arxiv url: http://arxiv.org/abs/2412.05138v2
- Date: Mon, 09 Dec 2024 14:52:37 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-10 14:52:13.063372
- Title: Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions
- Title(参考訳): サプライチェーンのセキュリティ:SBOMソリューションにおける統合性保護の欠如
- Authors: Can Ozkan, Xinhai Zou, Dave Singelee,
- Abstract要約: SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
本研究は,SBOMの完全性に関する詳細な,体系的な研究である。
- 参考スコア(独自算出の注目度): 0.0
- License:
- Abstract: The SolarWinds attack that exploited weaknesses in the software update mechanism highlights the critical need for organizations to have better visibility into their software dependencies and potential vulnerabilities associated with them, and the Software Bill of Materials (SBOM) is paramount in ensuring software supply chain security. Under the Executive Order issued by President Biden, the adoption of the SBOM has become obligatory within the United States. The executive order mandates that an SBOM should be provided for all software purchased by federal agencies. The main applications of SBOMs are vulnerability management and license management. This work presents an in-depth and systematic investigation into the integrity of SBOMs. We explore different attack vectors that can be exploited to manipulate SBOM data, including flaws in the SBOM generation and consumption phases in the SBOM life cycle. We thoroughly investigated four SBOM consumption tools and the generation process of SBOMs for seven prominent programming languages. Our systematic investigation reveals that the tools used for consumption lack integrity control mechanisms for dependencies. Similarly, the generation process is susceptible to integrity attacks as well, by manipulating dependency version numbers in package managers and additional files, resulting in incorrect SBOM data. This could lead to incorrect views on software dependencies and vulnerabilities being overlooked during SBOM consumption. To mitigate these issues, we propose a solution incorporating the decentralized storage of hash values of software libraries.
- Abstract(参考訳): ソフトウェアアップデートメカニズムの弱点を悪用したSolarWinds攻撃は、ソフトウェア依存関係とそれに関連する潜在的な脆弱性について、組織がより良い可視性を持つ必要があることを強調し、Software Bill of Materials(SBOM)は、ソフトウェアサプライチェーンのセキュリティを確保する上で最重要である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
行政命令は、連邦機関が購入したすべてのソフトウェアに対して、SBOMを提供することを義務付けている。
SBOMの主な用途は脆弱性管理とライセンス管理である。
本研究は,SBOMの完全性に関する詳細な,体系的な研究である。
我々は,SBOMのライフサイクルにおけるSBOM生成および消費フェーズの欠陥を含む,SBOMデータの操作に利用できる異なる攻撃ベクトルを探索する。
そこで我々は,SBOMの4つの消費ツールと,SBOMの生成過程を,7つの著名なプログラミング言語に対して徹底的に検討した。
組織的な調査から, 消費管理ツールには依存度管理機構が欠如していることが判明した。
同様に、生成プロセスは、パッケージマネージャと追加ファイルの依存関係バージョン番号を操作することによって、整合性攻撃にも影響され、誤ったSBOMデータとなる。
これは、ソフトウェア依存関係や脆弱性がSBOMの使用中に見過ごされているという誤った見方につながる可能性がある。
これらの問題を緩和するために,ソフトウェアライブラリのハッシュ値の分散ストレージを取り入れたソリューションを提案する。
関連論文リスト
- VMGuard: Reputation-Based Incentive Mechanism for Poisoning Attack Detection in Vehicular Metaverse [52.57251742991769]
車両メタバースガード(VMGuard)は、車両メタバースシステムをデータ中毒攻撃から保護する。
VMGuardは、参加するSIoTデバイスの信頼性を評価するために、評判に基づくインセンティブメカニズムを実装している。
当社のシステムは,従来は誤分類されていた信頼性の高いSIoTデバイスが,今後の市場ラウンドへの参加を禁止していないことを保証します。
論文 参考訳(メタデータ) (2024-12-05T17:08:20Z) - AgentHarm: A Benchmark for Measuring Harmfulness of LLM Agents [84.96249955105777]
LLMエージェントは誤用された場合、より大きなリスクを引き起こすが、その堅牢性は未発見のままである。
我々は, LLMエージェント誤用の研究を容易にするために, AgentHarmと呼ばれる新しいベンチマークを提案する。
主要なLLMは、ジェイルブレイクなしで悪意のあるエージェント要求に驚くほど準拠している。
論文 参考訳(メタデータ) (2024-10-11T17:39:22Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - SBOM Generation Tools in the Python Ecosystem: an In-Detail Analysis [2.828503885204035]
我々はCycloneDX標準を用いて4つの人気のあるSBOM生成ツールを分析する。
依存関係のバージョン、メタデータファイル、リモート依存関係、オプションの依存関係に関する問題を強調します。
PyPIエコシステムにおけるメタデータの標準の欠如による体系的な問題を特定する。
論文 参考訳(メタデータ) (2024-09-02T12:48:10Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - Automating SBOM Generation with Zero-Shot Semantic Similarity [2.169562514302842]
Software-Bill-of-Materials (SBOM)は、ソフトウェアアプリケーションのコンポーネントと依存関係を詳述した総合的なインベントリである。
本稿では,破壊的なサプライチェーン攻撃を防止するため,SBOMを自動生成する手法を提案する。
テスト結果は説得力があり、ゼロショット分類タスクにおけるモデルの性能を示す。
論文 参考訳(メタデータ) (2024-02-03T18:14:13Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Trust in Software Supply Chains: Blockchain-Enabled SBOM and the AIBOM
Future [28.67753149592534]
本研究では、SBOM共有のためのブロックチェーンを活用したアーキテクチャを導入し、検証可能な認証情報を活用して、選択的な開示を可能にする。
本稿では、AIシステムを含むSBOMの限界を広げ、AI Bill of Materials(AIBOM)という用語を創出する。
論文 参考訳(メタデータ) (2023-07-05T07:56:48Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。