Fugu-MT 論文翻訳(概要): GoLeash: Mitigating Golang Software Supply Chain Attacks with Runtime Policy Enforcement

論文の概要: GoLeash: Mitigating Golang Software Supply Chain Attacks with Runtime Policy Enforcement

arxiv url: http://arxiv.org/abs/2505.11016v1
Date: Fri, 16 May 2025 09:10:07 GMT
ステータス: 翻訳完了
システム内更新日: 2025-05-19 14:36:14.386016
Title: GoLeash: Mitigating Golang Software Supply Chain Attacks with Runtime Policy Enforcement
Title（参考訳）: GoLeash: ランタイムポリシ強化によるGo言語ソフトウェアサプライチェーンアタックの緩和
Authors: Carmine Cesarano, Martin Monperrus, Roberto Natella,
Abstract要約: パッケージレベルの粒度に少なくとも特権の原則を適用する新しいシステムであるGoLeashを提案する。この細かい粒度により、GoLeashは従来のサンドボックスよりも正確に悪意のあるパッケージを検出できる。 GoLeashは難読化の下で有効であり、静的解析の限界を克服し、許容されるランタイムオーバーヘッドを発生させる。
参考スコア（独自算出の注目度）: 10.835705780366466
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Modern software supply chain attacks consist of introducing new, malicious capabilities into trusted third-party software components, in order to propagate to a victim through a package dependency chain. These attacks are especially concerning for the Go language ecosystem, which is extensively used in critical cloud infrastructures. We present GoLeash, a novel system that applies the principle of least privilege at the package-level granularity, by enforcing distinct security policies for each package in the supply chain. This finer granularity enables GoLeash to detect malicious packages more precisely than traditional sandboxing that handles security policies at process- or container-level. Moreover, GoLeash remains effective under obfuscation, can overcome the limitations of static analysis, and incurs acceptable runtime overhead.
Abstract（参考訳）: 現代のソフトウェアサプライチェーン攻撃は、パッケージ依存チェーンを通じて被害者に伝達するために、信頼できるサードパーティソフトウェアコンポーネントに新たな悪意のある機能を導入することで構成される。これらの攻撃は特に、重要なクラウドインフラストラクチャで広く使用されているGo言語エコシステムに関するものだ。本稿では,パッケージ単位の粒度に最小特権の原則を適用した新しいシステムであるGoLeashについて,サプライチェーンの各パッケージに対して異なるセキュリティポリシーを強制することによって紹介する。この細かい粒度により、GoLeashは、プロセスやコンテナレベルでセキュリティポリシーを処理する従来のサンドボックスよりも、より正確に悪意のあるパッケージを検出することができる。さらに、GoLeashは難読化の下で有効であり、静的解析の限界を克服し、許容されるランタイムオーバーヘッドを発生させる。

関連論文リスト

Progent: Programmable Privilege Control for LLM Agents [46.49787947705293]
LLMエージェントの最初の特権制御機構であるProgentを紹介する。コアとなるのは、エージェント実行中に適用される権限制御ポリシを柔軟に表現するためのドメイン固有言語である。これにより、エージェント開発者とユーザは、特定のユースケースに対して適切なポリシーを作成し、セキュリティを保証するために決定的にそれらを強制することができる。
論文参考訳（メタデータ） (2025-04-16T01:58:40Z)
Rethinking Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain [2.4969046521751768]
本稿では,サードパーティパッケージへの依存を最小限に抑えるためのソフトウェア開発プラクティスの転換を提唱する。これらのエンドツーエンドパッケージは、エコシステムにおいて重要な役割を担っているため、ユニークな洞察を提供する。
論文参考訳（メタデータ） (2025-03-04T17:26:34Z)
Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks [88.84977282952602]
最近のMLセキュリティ文献は、整列型大規模言語モデル(LLM)に対する攻撃に焦点を当てている。本稿では,LLMエージェントに特有のセキュリティとプライバシの脆弱性を分析する。我々は、人気のあるオープンソースおよび商用エージェントに対する一連の実証的な攻撃を行い、その脆弱性の即時的な影響を実証した。
論文参考訳（メタデータ） (2025-02-12T17:19:36Z)
Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
論文参考訳（メタデータ） (2025-02-10T16:50:48Z)
ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
論文参考訳（メタデータ） (2024-11-21T18:26:05Z)
GoSurf: Identifying Software Supply Chain Attack Vectors in Go [9.91891839872381]
本稿では,Go言語に適した12個の異なる攻撃ベクトルの分類法とそのパッケージライフサイクルを提案する。私たちの研究は、Goエコシステム内のオープンソースのソフトウェアサプライチェーンを確保するための予備的な洞察を提供します。
論文参考訳（メタデータ） (2024-07-05T11:52:27Z)
AdaShield: Safeguarding Multimodal Large Language Models from Structure-based Attack via Adaptive Shield Prompting [54.931241667414184]
textbfAdaptive textbfShield Promptingを提案する。これは、MLLMを構造ベースのジェイルブレイク攻撃から守るための防御プロンプトで入力をプリペイドする。我々の手法は、構造に基づくジェイルブレイク攻撃に対するMLLMの堅牢性を一貫して改善することができる。
論文参考訳（メタデータ） (2024-03-14T15:57:13Z)
Model Supply Chain Poisoning: Backdooring Pre-trained Models via Embedding Indistinguishability [61.549465258257115]
そこで我々は,PTMに埋め込まれたバックドアをモデルサプライチェーンに効率的に移動させる,新しい,より厳しいバックドア攻撃であるTransTrojを提案する。実験の結果,本手法はSOTAタスク非依存のバックドア攻撃より有意に優れていた。
論文参考訳（メタデータ） (2024-01-29T04:35:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。