論文の概要: Attestable builds: compiling verifiable binaries on untrusted systems using trusted execution environments
- arxiv url: http://arxiv.org/abs/2505.02521v1
- Date: Mon, 05 May 2025 10:00:04 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-06 18:49:35.643229
- Title: Attestable builds: compiling verifiable binaries on untrusted systems using trusted execution environments
- Title(参考訳): 検証可能なビルド:信頼された実行環境を使用して信頼できないシステムに検証可能なバイナリをコンパイルする
- Authors: Daniel Hugenroth, Mario Lins, René Mayrhofer, Alastair Beresford,
- Abstract要約: attestableビルドは、ソフトウェアアーティファクトに強力なソース対バイナリ対応を提供する。
私たちは、ソースコードと最終バイナリアーティファクトの間の信頼を切断する不透明なビルドパイプラインの課題に取り組みます。
- 参考スコア(独自算出の注目度): 3.207381224848367
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: In this paper we present attestable builds, a new paradigm to provide strong source-to-binary correspondence in software artifacts. We tackle the challenge of opaque build pipelines that disconnect the trust between source code, which can be understood and audited, and the final binary artifact, which is difficult to inspect. Our system uses modern trusted execution environments (TEEs) and sandboxed build containers to provide strong guarantees that a given artifact was correctly built from a specific source code snapshot. As such it complements existing approaches like reproducible builds which typically require time-intensive modifications to existing build configurations and dependencies, and require independent parties to continuously build and verify artifacts. In comparison, an attestable build requires only minimal changes to an existing project, and offers nearly instantaneous verification of the correspondence between a given binary and the source code and build pipeline used to construct it. We evaluate it by building open-source software libraries - focusing on projects which are important to the trust chain and those which have proven difficult to be built deterministically. Overall, the overhead (42 seconds start-up latency and 14% increase in build duration) is small in comparison to the overall build time. Importantly, our prototype builds even complex projects such as LLVM Clang without requiring any modifications to their source code and build scripts. Finally, we formally model and verify the attestable build design to demonstrate its security against well-resourced adversaries.
- Abstract(参考訳): 本稿では、ソフトウェアアーティファクトに強力なソース対バイナリ対応を提供するための新しいパラダイムである、検証可能なビルドを提案する。
ソースコード間の信頼を断ち切る不透明なビルドパイプラインと、検査が難しい最終バイナリアーティファクトの課題に取り組みます。
我々のシステムは、最新の信頼できる実行環境(TEE)とサンドボックス化されたビルドコンテナを使用して、特定のアーティファクトが特定のソースコードスナップショットから正しく構築されていることを確実に保証します。
そのため、再現可能なビルドのような既存のアプローチを補完し、通常は既存のビルド構成や依存関係に時間を要する。
それに対して、テスト可能なビルドでは、既存のプロジェクトへの最小限の変更しか必要とせず、与えられたバイナリとソースコードの対応性のほぼ瞬間的な検証と、それを構築するのに使用されるビルドパイプラインを提供する。
私たちは、オープンソースソフトウェアライブラリを構築することで、それを評価します - 信頼チェーンにとって重要なプロジェクトと、決定論的に構築することが難しいプロジェクトに焦点を当てます。
全体的なオーバーヘッド(起動遅延42秒、ビルド期間14%)は、全体のビルド時間と比較して小さい。
私たちのプロトタイプは、ソースコードやビルドスクリプトを変更することなく、LLVM Clangのような複雑なプロジェクトも構築しています。
最後に、我々は検証不可能なビルド設計を正式にモデル化し、検証し、十分なリソースを持つ敵に対するセキュリティを実証する。
関連論文リスト
- Towards Source Mapping for Zero-Knowledge Smart Contracts: Design and Preliminary Evaluation [9.952399779710044]
本稿では,zkSolcコンパイルパイプライン内のSolidityソースコード,LLVM IR,zkEVMバイトコード間のトレーサビリティを確立するためのソースマッピングフレームワークを提案する。
我々は,50のベンチマークコントラクトと500の現実世界のzkSyncコントラクトのデータセット上でフレームワークを評価し,標準のSolidity構造に対して約97.2%のマッピング精度を観測した。
論文 参考訳(メタデータ) (2025-04-06T01:42:07Z) - Bomfather: An eBPF-based Kernel-level Monitoring Framework for Accurate Identification of Unknown, Unused, and Dynamically Loaded Dependencies in Modern Software Supply Chains [0.0]
依存性追跡手法の不正確さは、現代のソフトウェアサプライチェーンのセキュリティと整合性を損なう。
本稿では,拡張バークレーパケットフィルタ(eBPF)を利用したカーネルレベルのフレームワークを提案する。
論文 参考訳(メタデータ) (2025-03-03T22:32:59Z) - ExecRepoBench: Multi-level Executable Code Completion Evaluation [45.963424627710765]
本稿では,リポジトリレベルのベンチマークであるExecRepoBenchの作成を通じて,ソフトウェア開発におけるコード補完を強化する新しいフレームワークを紹介する。
本稿では,抽象構文木をベースとした多段階文法ベースの補完手法を提案し,様々な論理単位のコードフラグメントをマスキングする。
次に,Repo-Instruct の 7B パラメータでオープンソースの LLM を微調整し,強力なコード補完ベースラインモデル Qwen2.5-Coder-Instruct-C を生成する。
論文 参考訳(メタデータ) (2024-12-16T17:14:35Z) - Commit0: Library Generation from Scratch [77.38414688148006]
Commit0は、AIエージェントにスクラッチからライブラリを書くよう促すベンチマークである。
エージェントには、ライブラリのAPIを概説する仕様文書と、インタラクティブなユニットテストスイートが提供されている。
Commit0はまた、モデルが生成したコードに対して静的解析と実行フィードバックを受け取る、インタラクティブな環境も提供する。
論文 参考訳(メタデータ) (2024-12-02T18:11:30Z) - Levels of Binary Equivalence for the Comparison of Binaries from Alternative Builds [1.1405827621489222]
ビルドプラットフォームの可変性は、妥協されたビルド環境の検出を容易にするため、セキュリティを強化することができる。
同じソースから構築された複数のバイナリの可用性は、新たな課題と機会を生み出します。
そのような質問に答えるためには、バイナリ間の等価性の概念が必要である。
論文 参考訳(メタデータ) (2024-10-11T00:16:26Z) - Codev-Bench: How Do LLMs Understand Developer-Centric Code Completion? [60.84912551069379]
Code-Development Benchmark (Codev-Bench)は、細粒度で現実世界、リポジトリレベル、開発者中心の評価フレームワークです。
Codev-Agentは、リポジトリのクローリングを自動化し、実行環境を構築し、既存のユニットテストから動的呼び出しチェーンを抽出し、データ漏洩を避けるために新しいテストサンプルを生成するエージェントベースのシステムである。
論文 参考訳(メタデータ) (2024-10-02T09:11:10Z) - Detecting Continuous Integration Skip : A Reinforcement Learning-based Approach [0.4297070083645049]
継続的統合(CI)プラクティスは、自動ビルドとテストプロセスを採用することで、コード変更のシームレスな統合を促進する。
Travis CIやGitHub Actionsといった一部のフレームワークは、CIプロセスの簡素化と強化に大きく貢献している。
開発者はCI実行に適したコミットやスキップの候補としてコミットを正確にフラグ付けすることの難しさに悩まされ続けている。
論文 参考訳(メタデータ) (2024-05-15T18:48:57Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。