論文の概要: Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions

• arxiv url: http://arxiv.org/abs/2412.05138v3
• Date: Tue, 22 Apr 2025 13:48:39 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-04-23 19:51:40.162778
• Title: Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions
• Title（参考訳）: サプライチェーンのセキュリティ:SBOMソリューションにおける統合性保護の欠如
• Authors: Can Ozkan, Xinhai Zou, Dave Singelee,
• Abstract要約: SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。 ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。 我々は、SBOMのアウトプットに組み込むことができる信頼について、より深く、体系的に調査する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: The SolarWinds attack, which exploited weaknesses in a software update mechanism, highlights the critical need for organizations to have better visibility into their software dependencies and potential vulnerabilities associated with them. The Software Bill of Materials (SBOM) is paramount in ensuring software supply chain security. Under the Executive Order issued by President Biden, the adoption of the SBOM has become obligatory within the United States. The executive order mandates that an SBOM must be provided for all software purchased by federal agencies. In this paper, we present an in-depth and systematic investigation of the trust that can be put into the output of SBOMs. Our research reveals that the SBOM generation process across popular programming languages is susceptible to stealthy manipulation by malicious insiders, leading to significant supply chain insecurities. We then investigated the tools used to consume SBOMs, examining their capability to detect and handle manipulated or compromised SBOM data. To address these security issues, we analyze the use of public repositories for software libraries to validate the integrity of dependencies and demonstrate the feasibility of our proof-of-concept implementation. We further evaluate an alternative, decentralized approach based on blockchain.
• Abstract（参考訳）: ソフトウェアアップデートメカニズムの弱点を悪用したSolarWinds攻撃は、ソフトウェア依存関係とそれに関連する潜在的な脆弱性を、組織がよりよく理解する必要性を強調している。 SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。 ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。 行政命令は、連邦機関が購入したすべてのソフトウェアに対して、SBOMを提供することを義務付けている。 本稿では,SBOMのアウトプットに組み込むことができる信頼度について,より深く,体系的に調査する。 我々の研究は、人気のあるプログラミング言語におけるSBOM生成プロセスが悪意のあるインサイダーによる盗聴操作の影響を受けており、サプライチェーンの重大な不確実性につながっていることを明らかにした。 次に,SBOMを消費するツールについて検討し,SBOMデータの検出・処理能力について検討した。 これらのセキュリティ問題に対処するため,ソフトウェアライブラリの公開リポジトリを使用して依存関係の完全性を検証するとともに,概念実証実装の実現可能性を示す。 さらに、ブロックチェーンに基づいた、別の分散型アプローチを評価します。

関連論文リスト

• VMGuard: Reputation-Based Incentive Mechanism for Poisoning Attack Detection in Vehicular Metaverse [52.57251742991769]
  車両メタバースガード(VMGuard)は、車両メタバースシステムをデータ中毒攻撃から保護する。 VMGuardは、参加するSIoTデバイスの信頼性を評価するために、評判に基づくインセンティブメカニズムを実装している。 当社のシステムは,従来は誤分類されていた信頼性の高いSIoTデバイスが,今後の市場ラウンドへの参加を禁止していないことを保証します。
  論文  参考訳（メタデータ） (2024-12-05T17:08:20Z)
• Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
  認証サイクル冗長性チェック(ACRIC)を提案する。 ACRICは、追加のハードウェアを必要とせずに後方互換性を保持し、プロトコルに依存しない。 ACRICは最小送信オーバーヘッド(1ms)で堅牢なセキュリティを提供する。
  論文  参考訳（メタデータ） (2024-11-21T18:26:05Z)
• AgentHarm: A Benchmark for Measuring Harmfulness of LLM Agents [84.96249955105777]
  LLMエージェントは誤用された場合、より大きなリスクを引き起こすが、その堅牢性は未発見のままである。 我々は, LLMエージェント誤用の研究を容易にするために, AgentHarmと呼ばれる新しいベンチマークを提案する。 主要なLLMは、ジェイルブレイクなしで悪意のあるエージェント要求に驚くほど準拠している。
  論文  参考訳（メタデータ） (2024-10-11T17:39:22Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• SBOM Generation Tools in the Python Ecosystem: an In-Detail Analysis [2.828503885204035]
  我々はCycloneDX標準を用いて4つの人気のあるSBOM生成ツールを分析する。 依存関係のバージョン、メタデータファイル、リモート依存関係、オプションの依存関係に関する問題を強調します。 PyPIエコシステムにおけるメタデータの標準の欠如による体系的な問題を特定する。
  論文  参考訳（メタデータ） (2024-09-02T12:48:10Z)
• SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
  ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。 本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
  論文  参考訳（メタデータ） (2024-05-23T18:53:48Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• A Landscape Study of Open Source and Proprietary Tools for Software Bill of Materials (SBOM) [3.1190983209295076]
  Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。 最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。 本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
  論文  参考訳（メタデータ） (2024-02-17T00:36:20Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Trust in Software Supply Chains: Blockchain-Enabled SBOM and the AIBOM Future [28.67753149592534]
  本研究では、SBOM共有のためのブロックチェーンを活用したアーキテクチャを導入し、検証可能な認証情報を活用して、選択的な開示を可能にする。 本稿では、AIシステムを含むSBOMの限界を広げ、AI Bill of Materials(AIBOM)という用語を創出する。
  論文  参考訳（メタデータ） (2023-07-05T07:56:48Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Software supply chain: review of attacks, risk assessment strategies and security controls [0.13812010983144798]
  ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。 我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。 本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
  論文  参考訳（メタデータ） (2023-05-23T15:25:39Z)
• Will bots take over the supply chain? Revisiting Agent-based supply chain automation [71.77396882936951]
  エージェントベースのサプライチェーンは2000年初頭から提案されている。 エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。 例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
  論文  参考訳（メタデータ） (2021-09-03T18:44:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。