論文の概要: Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks

• arxiv url: http://arxiv.org/abs/2502.06662v1
• Date: Mon, 10 Feb 2025 16:50:48 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-11 14:35:42.076933
• Title: Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks
• Title（参考訳）: ピンニングは不完全:サプライチェーン攻撃を防げるためには、ローカル依存のバージョニング以上のものが必要だ
• Authors: Hao He, Bogdan Vasilescu, Christian Kästner,
• Abstract要約: オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
• 参考スコア（独自算出の注目度）: 23.756533975349985
• License:
• Abstract: Recent high-profile incidents in open-source software have greatly raised practitioner attention on software supply chain attacks. To guard against potential malicious package updates, security practitioners advocate pinning dependency to specific versions rather than floating in version ranges. However, it remains controversial whether pinning carries a meaningful security benefit that outweighs the cost of maintaining outdated and possibly vulnerable dependencies. In this paper, we quantify, through counterfactual analysis and simulations, the security and maintenance impact of version constraints in the npm ecosystem. By simulating dependency resolutions over historical time points, we find that pinning direct dependencies not only (as expected) increases the cost of maintaining vulnerable and outdated dependencies, but also (surprisingly) even increases the risk of exposure to malicious package updates in larger dependency graphs due to the specifics of npm's dependency resolution mechanism. Finally, we explore collective pinning strategies to secure the ecosystem against supply chain attacks, suggesting specific changes to npm to enable such interventions. Our study provides guidance for practitioners and tool designers to manage their supply chains more securely.
• Abstract（参考訳）: オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーン攻撃に対する実践者の注目を集めている。 悪意のあるパッケージ更新の潜在的な防止のために、セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨している。 しかし、ピンニングが時代遅れで潜在的に脆弱な依存関係を維持するコストを上回る有意義なセキュリティ上のメリットをもたらすかどうかについては議論の余地がある。 本稿では,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響について,反実解析とシミュレーションを通じて定量化する。 過去のタイムポイントに対する依存性の解決をシミュレートすることで、(予想通り)直接的な依存関係のピン留めは、脆弱で時代遅れな依存関係を維持するコストを増大させるだけでなく、(当然のことながら)npmの依存性の解決メカニズムの特異性によって、より大規模な依存性グラフにおいて悪意のあるパッケージアップデートが露出するリスクも増大させる。 最後に、サプライチェーン攻撃に対する生態系の安全を確保するための総合的なピンニング戦略について検討し、そのような介入を可能にするため、npmへの具体的な変更を提案する。 本研究は,サプライチェーンをより安全に管理するための実践者やツールデザイナのガイダンスを提供する。

関連論文リスト

• Dirty-Waters: Detecting Software Supply Chain Smells [10.405775369526006]
  ソフトウェアサプライチェーン臭の新しい概念と,ソフトウェアサプライチェーン臭を検出する新しいツールであるDirty-Watersを定義した。 9つのバージョンにわたる3つのJavaScriptプロジェクトでDirty-Watersを評価し、提案されたソフトウェアサプライチェーンの匂いの頻度を実証した。
  論文  参考訳（メタデータ） (2024-10-21T14:24:12Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• GoSurf: Identifying Software Supply Chain Attack Vectors in Go [9.91891839872381]
  本稿では,Go言語に適した12個の異なる攻撃ベクトルの分類法とそのパッケージライフサイクルを提案する。 私たちの研究は、Goエコシステム内のオープンソースのソフトウェアサプライチェーンを確保するための予備的な洞察を提供します。
  論文  参考訳（メタデータ） (2024-07-05T11:52:27Z)
• Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
  Golangの脆弱性のライフサイクルを総合的に調査した。 その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。 タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
  論文  参考訳（メタデータ） (2023-12-31T14:53:51Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• Lessons from the Long Tail: Analysing Unsafe Dependency Updates across Software Ecosystems [11.461455369774765]
  人口88,416人のプルリクエスト(PR)から得られた3つの代表サンプルに基づく予備データを示す。 安全でない依存関係の更新(すなわち、実行時に安全でないリスクのあるプルリクエスト)を特定します。 これには、トップクラスのライブラリだけでなく、エコシステム全体において、安全でない依存関係更新に対処するためのベストプラクティスの開発が含まれる。
  論文  参考訳（メタデータ） (2023-09-08T08:17:09Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Online Safety Property Collection and Refinement for Safe Deep Reinforcement Learning in Mapless Navigation [79.89605349842569]
  オンラインプロパティのコレクション・リファインメント(CROP)フレームワークをトレーニング時にプロパティを設計するために導入する。 CROPは、安全でない相互作用を識別し、安全特性を形成するためにコストシグナルを使用する。 本手法をいくつかのロボットマップレスナビゲーションタスクで評価し,CROPで計算した違反量によって,従来のSafe DRL手法よりも高いリターンと低いリターンが得られることを示す。
  論文  参考訳（メタデータ） (2023-02-13T21:19:36Z)
• Is Vertical Logistic Regression Privacy-Preserving? A Comprehensive Privacy Analysis and Beyond [57.10914865054868]
  垂直ロジスティック回帰(VLR)をミニバッチ降下勾配で訓練した。 我々は、オープンソースのフェデレーション学習フレームワークのクラスにおいて、VLRの包括的で厳密なプライバシー分析を提供する。
  論文  参考訳（メタデータ） (2022-07-19T05:47:30Z)
• Bilateral Dependency Optimization: Defending Against Model-inversion Attacks [61.78426165008083]
  本稿では,モデル反転攻撃に対する二元的依存性最適化(BiDO)戦略を提案する。 BiDOは、さまざまなデータセット、分類器、MI攻撃に対する最先端の防御性能を達成する。
  論文  参考訳（メタデータ） (2022-06-11T10:07:03Z)
• A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
  敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。 本稿では,入力空間における自己教師型対向学習機構を提案する。 これは、反逆攻撃に対する強力な堅牢性を提供する。
  論文  参考訳（メタデータ） (2020-06-08T20:42:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。