論文の概要: Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions

• arxiv url: http://arxiv.org/abs/2412.05138v2
• Date: Mon, 09 Dec 2024 14:52:37 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-10 14:43:04.147793
• Title: Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions
• Title（参考訳）: サプライチェーンのセキュリティ:SBOMソリューションにおける統合性保護の欠如
• Authors: Can Ozkan, Xinhai Zou, Dave Singelee,
• Abstract要約: SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。 ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。 本研究は,SBOMの完全性に関する詳細な,体系的な研究である。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: The SolarWinds attack that exploited weaknesses in the software update mechanism highlights the critical need for organizations to have better visibility into their software dependencies and potential vulnerabilities associated with them, and the Software Bill of Materials (SBOM) is paramount in ensuring software supply chain security. Under the Executive Order issued by President Biden, the adoption of the SBOM has become obligatory within the United States. The executive order mandates that an SBOM should be provided for all software purchased by federal agencies. The main applications of SBOMs are vulnerability management and license management. This work presents an in-depth and systematic investigation into the integrity of SBOMs. We explore different attack vectors that can be exploited to manipulate SBOM data, including flaws in the SBOM generation and consumption phases in the SBOM life cycle. We thoroughly investigated four SBOM consumption tools and the generation process of SBOMs for seven prominent programming languages. Our systematic investigation reveals that the tools used for consumption lack integrity control mechanisms for dependencies. Similarly, the generation process is susceptible to integrity attacks as well, by manipulating dependency version numbers in package managers and additional files, resulting in incorrect SBOM data. This could lead to incorrect views on software dependencies and vulnerabilities being overlooked during SBOM consumption. To mitigate these issues, we propose a solution incorporating the decentralized storage of hash values of software libraries.
• Abstract（参考訳）: ソフトウェアアップデートメカニズムの弱点を悪用したSolarWinds攻撃は、ソフトウェア依存関係とそれに関連する潜在的な脆弱性について、組織がより良い可視性を持つ必要があることを強調し、Software Bill of Materials(SBOM)は、ソフトウェアサプライチェーンのセキュリティを確保する上で最重要である。 ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。 行政命令は、連邦機関が購入したすべてのソフトウェアに対して、SBOMを提供することを義務付けている。 SBOMの主な用途は脆弱性管理とライセンス管理である。 本研究は,SBOMの完全性に関する詳細な,体系的な研究である。 我々は,SBOMのライフサイクルにおけるSBOM生成および消費フェーズの欠陥を含む,SBOMデータの操作に利用できる異なる攻撃ベクトルを探索する。 そこで我々は,SBOMの4つの消費ツールと,SBOMの生成過程を,7つの著名なプログラミング言語に対して徹底的に検討した。 組織的な調査から, 消費管理ツールには依存度管理機構が欠如していることが判明した。 同様に、生成プロセスは、パッケージマネージャと追加ファイルの依存関係バージョン番号を操作することによって、整合性攻撃にも影響され、誤ったSBOMデータとなる。 これは、ソフトウェア依存関係や脆弱性がSBOMの使用中に見過ごされているという誤った見方につながる可能性がある。 これらの問題を緩和するために,ソフトウェアライブラリのハッシュ値の分散ストレージを取り入れたソリューションを提案する。

関連論文リスト

• VMGuard: Reputation-Based Incentive Mechanism for Poisoning Attack Detection in Vehicular Metaverse [52.57251742991769]
  車両メタバースガード(VMGuard)は、車両メタバースシステムをデータ中毒攻撃から保護する。 VMGuardは、参加するSIoTデバイスの信頼性を評価するために、評判に基づくインセンティブメカニズムを実装している。 当社のシステムは,従来は誤分類されていた信頼性の高いSIoTデバイスが,今後の市場ラウンドへの参加を禁止していないことを保証します。
  論文  参考訳（メタデータ） (2024-12-05T17:08:20Z)
• Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
  認証サイクル冗長性チェック(ACRIC)を提案する。 ACRICは、追加のハードウェアを必要とせずに後方互換性を保持し、プロトコルに依存しない。 ACRICは最小送信オーバーヘッド(1ms)で堅牢なセキュリティを提供する。
  論文  参考訳（メタデータ） (2024-11-21T18:26:05Z)
• AgentHarm: A Benchmark for Measuring Harmfulness of LLM Agents [84.96249955105777]
  LLMエージェントは誤用された場合、より大きなリスクを引き起こすが、その堅牢性は未発見のままである。 我々は, LLMエージェント誤用の研究を容易にするために, AgentHarmと呼ばれる新しいベンチマークを提案する。 主要なLLMは、ジェイルブレイクなしで悪意のあるエージェント要求に驚くほど準拠している。
  論文  参考訳（メタデータ） (2024-10-11T17:39:22Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• SBOM Generation Tools in the Python Ecosystem: an In-Detail Analysis [2.828503885204035]
  我々はCycloneDX標準を用いて4つの人気のあるSBOM生成ツールを分析する。 依存関係のバージョン、メタデータファイル、リモート依存関係、オプションの依存関係に関する問題を強調します。 PyPIエコシステムにおけるメタデータの標準の欠如による体系的な問題を特定する。
  論文  参考訳（メタデータ） (2024-09-02T12:48:10Z)
• SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
  ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。 本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
  論文  参考訳（メタデータ） (2024-05-23T18:53:48Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• A Landscape Study of Open Source and Proprietary Tools for Software Bill of Materials (SBOM) [3.1190983209295076]
  Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。 最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。 本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
  論文  参考訳（メタデータ） (2024-02-17T00:36:20Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Trust in Software Supply Chains: Blockchain-Enabled SBOM and the AIBOM Future [28.67753149592534]
  本研究では、SBOM共有のためのブロックチェーンを活用したアーキテクチャを導入し、検証可能な認証情報を活用して、選択的な開示を可能にする。 本稿では、AIシステムを含むSBOMの限界を広げ、AI Bill of Materials(AIBOM)という用語を創出する。
  論文  参考訳（メタデータ） (2023-07-05T07:56:48Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Software supply chain: review of attacks, risk assessment strategies and security controls [0.13812010983144798]
  ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。 我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。 本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
  論文  参考訳（メタデータ） (2023-05-23T15:25:39Z)
• Will bots take over the supply chain? Revisiting Agent-based supply chain automation [71.77396882936951]
  エージェントベースのサプライチェーンは2000年初頭から提案されている。 エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。 例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
  論文  参考訳（メタデータ） (2021-09-03T18:44:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。