論文の概要: Biting the CHERI bullet: Blockers, Enablers and Security Implications of CHERI in Defence

• arxiv url: http://arxiv.org/abs/2504.17904v1
• Date: Thu, 24 Apr 2025 19:44:12 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-02 19:15:53.562946
• Title: Biting the CHERI bullet: Blockers, Enablers and Security Implications of CHERI in Defence
• Title（参考訳）: CHERIの弾丸を噛む:CHERIの防衛におけるブロッカ、エンバーバー、セキュリティへの影響
• Authors: Shamal Faily,
• Abstract要約: このようなセキュアなハードウェアソリューションであるCHERIを12ヶ月で評価した結果を報告する。 業界と学界から15のチームが、Defenseに関連するソフトウェアをArmの実験的なMorelloボードに移植した。 依存関係、知識のプレミアム、ユーティリティの欠如、パフォーマンス、プラットフォームの不安定、技術的負債の6つのタイプのブロッカを特定しました。
• 参考スコア（独自算出の注目度）: 0.8158530638728498
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: There is growing interest in securing the hardware foundations software stacks build upon. However, before making any investment decision, software and hardware supply chain stakeholders require evidence from realistic, multiple long-term studies of adoption. We present results from a 12 month evaluation of one such secure hardware solution, CHERI, where 15 teams from industry and academia ported software relevant to Defence to Arm's experimental Morello board. We identified six types of blocker inhibiting adoption: dependencies, a knowledge premium, missing utilities, performance, platform instability, and technical debt. We also identified three types of enabler: tool assistance, improved quality, and trivial code porting. Finally, we identified five types of potential vulnerability that CHERI could, if not appropriately configured, expand a system's attack surface: state leaks, memory leaks, use after free vulnerabilities, unsafe defaults, and tool chain instability. Future work should remove potentially insecure defaults from CHERI tooling, and develop a CHERI body of knowledge to further adoption.
• Abstract（参考訳）: ソフトウェアスタックが構築するハードウェア基盤の確保に対する関心が高まっている。 しかしながら、いかなる投資決定を下す前に、ソフトウェアとハードウェアサプライチェーンのステークホルダーは、現実的な、複数の長期にわたる採用研究の証拠を必要とする。 このようなセキュアなハードウェアソリューションであるCHERIを12ヶ月で評価した結果、業界と学界の15チームが、Defenseに関連するソフトウェアをArmの実験的なMorelloボードに移植した。 依存関係、知識のプレミアム、ユーティリティの欠如、パフォーマンス、プラットフォームの不安定、技術的負債の6つのタイプのブロッカを特定しました。 また、ツールアシスト、品質の改善、簡単なコードのポーティングという3つのタイプのイネーブラーを特定しました。 最後に、CHERIが適切に設定していない場合、システムの攻撃面を拡張する5つの潜在的な脆弱性を特定しました。 今後の作業では、CHERIツールから潜在的に安全でないデフォルトを取り除き、さらなる採用のためにCHERIの知識体系を開発する必要がある。

関連論文リスト

• Vulnerability anti-patterns in Solidity: Increasing smart contracts security by reducing false alarms [0.0]
  我々は、現在の分析の統合と拡張が実現可能なだけでなく、スマートコントラクトセキュリティにおける次の論理的なステップであることを示す。 開発者中心の脆弱性の概念から,Solidityコードの形態と動的性に関する軽量な静的チェックを提案する。
  論文  参考訳（メタデータ） (2024-10-22T17:21:28Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
  ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。 これらの攻撃を評価することは、現在のベンチマークと評価テクニックの収集が適切に対処していない、多くの課題を提示します。 JailbreakBenchは、以下のコンポーネントを備えたオープンソースのベンチマークである。
  論文  参考訳（メタデータ） (2024-03-28T02:44:02Z)
• EasyJailbreak: A Unified Framework for Jailbreaking Large Language Models [53.87416566981008]
  本稿では,大規模言語モデル(LLM)に対するジェイルブレイク攻撃の構築と評価を容易にする統合フレームワークであるEasyJailbreakを紹介する。 Selector、Mutator、Constraint、Evaluatorの4つのコンポーネントを使ってJailbreak攻撃を構築する。 10の異なるLSMで検証した結果、さまざまなジェイルブレイク攻撃で平均60%の侵入確率で重大な脆弱性が判明した。
  論文  参考訳（メタデータ） (2024-03-18T18:39:53Z)
• HW-V2W-Map: Hardware Vulnerability to Weakness Mapping Framework for Root Cause Analysis with GPT-assisted Mitigation Suggestion [3.847218857469107]
  HW-V2W-Map Frameworkは、ハードウェア脆弱性とIoT(Internet of Things)セキュリティに焦点を当てた機械学習(ML)フレームワークである。 私たちが提案したアーキテクチャには,オントロジーを更新するプロセスを自動化する,オントロジー駆動のストーリテリングフレームワークが組み込まれています。 提案手法は,GPT (Generative Pre-trained Transformer) Large Language Models (LLMs) を用いて緩和提案を行った。
  論文  参考訳（メタデータ） (2023-12-21T02:14:41Z)
• Blockchain-based Zero Trust on the Edge [5.323279718522213]
  本稿では,ブロックチェーンに拡張されたゼロトラストアーキテクチャ(ZTA)に基づく新たなアプローチを提案し,セキュリティをさらに強化する。 ブロックチェーンコンポーネントは、ユーザの要求を格納するための不変データベースとして機能し、潜在的に悪意のあるユーザアクティビティを分析して識別することで、信頼性を検証するために使用される。 スマートシティにおけるその実現可能性と適用性を検証するために,テストベッド上で実施したフレームワーク,アプローチのプロセス,実験について論じる。
  論文  参考訳（メタデータ） (2023-11-28T12:43:21Z)
• Rust for Embedded Systems: Current State, Challenges and Open Problems (Extended Report) [6.414678578343769]
  本稿では,組み込みシステムにRUSTを使用する際の現状と課題を総合的に理解するための,最初の体系的研究を行う。 さまざまなカテゴリにまたがる2,836のRUST組込みソフトウェアと5つの静的アプリケーションセキュリティテスト(SAST)ツールのデータセットを収集しました。 既存のRUSTソフトウェアサポートが不十分であること、SASTツールがRUST組み込みソフトウェアの特定の機能に対応できないこと、そして既存のRUSTソフトウェアにおける高度な型の導入が、相互運用可能なコードのエンジニアリングを困難にしていることを発見した。
  論文  参考訳（メタデータ） (2023-11-08T23:59:32Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。