Fugu-MT 論文翻訳(概要): Reproducible Builds and Insights from an Independent Verifier for Arch Linux

論文の概要: Reproducible Builds and Insights from an Independent Verifier for Arch Linux

arxiv url: http://arxiv.org/abs/2505.21642v1
Date: Tue, 27 May 2025 18:14:36 GMT
ステータス: 翻訳完了
システム内更新日: 2025-05-29 17:35:50.224091
Title: Reproducible Builds and Insights from an Independent Verifier for Arch Linux
Title（参考訳）: Arch Linuxの独立した検証ツールによる再現可能なビルドとインサイト
Authors: Joshua Drexel, Esther Hänggi, Iyán Méndez Veiga,
Abstract要約: 近年、サプライチェーン攻撃はサイバーセキュリティの脅威として顕著に浮上している。再現性とブートストラップ可能なビルドは、そのような攻撃を大幅に削減する可能性がある。独立した、徹底的な、定期的なソースコード監査と組み合わせることで、これらの措置は、ビルドプロセスにおける妥協を効果的に根絶することができる。
参考スコア（独自算出の注目度）: 0.0
License: http://creativecommons.org/licenses/by-sa/4.0/
Abstract: Supply chain attacks have emerged as a prominent cybersecurity threat in recent years. Reproducible and bootstrappable builds have the potential to reduce such attacks significantly. In combination with independent, exhaustive and periodic source code audits, these measures can effectively eradicate compromises in the building process. In this paper we introduce both concepts, we analyze the achievements over the last ten years and explain the remaining challenges. We contribute to the reproducible builds effort by setting up a rebuilder and verifier instance to test the reproducibility of Arch Linux packages. Using the results from this instance, we uncover an unnoticed and security-relevant packaging issue affecting 16 packages related to Certbot, the recommended software to install TLS certificates from Let's Encrypt, making them unreproducible. Additionally, we find the root cause of unreproduciblity in the source code of fwupd, a critical software used to update device firmware on Linux devices, and submit an upstream patch to fix it.
Abstract（参考訳）: 近年、サプライチェーン攻撃はサイバーセキュリティの脅威として顕著に浮上している。再現性とブートストラップ可能なビルドは、そのような攻撃を著しく削減する可能性がある。独立した、徹底的な、定期的なソースコード監査と組み合わせることで、これらの措置は、ビルドプロセスにおける妥協を効果的に根絶することができる。本稿では,2つの概念を紹介し,過去10年間の成果を分析し,残りの課題を説明する。 Arch Linuxパッケージの再現性をテストするために,リストラクタと検証器インスタンスを設定することで再現性のあるビルド作業に貢献する。この例の結果から,Let's EncryptからTLS証明書をインストールする推奨ソフトウェアであるCertbotに関連する16のパッケージに影響を及ぼす,未確認かつセキュリティ関連のパッケージの問題を明らかにする。さらに、Linuxデバイス上でデバイスファームウェアの更新に使用される重要なソフトウェアであるfwupdのソースコードに再現性がないという根本原因を見つけ、それを修正するためのアップストリームパッチを提出する。

関連論文リスト

Canonicalization for Unreproducible Builds in Java [11.367562045401554]
再現可能なビルドの概念フレームワークを導入し,再現可能な中央からの大きなデータセットを分析し,再現不可能な6つの根本原因の新たな分類法を開発した。再現不可能な12,283のアーティファクトに対して、9.48%から26.89%に成功を収めるツールであるChains-Rebuildを紹介します。
論文参考訳（メタデータ） (2025-04-30T14:17:54Z)
CrashFixer: A crash resolution agent for the Linux kernel [58.152358195983155]
この作業は、システムレベルのLinuxカーネルバグのベンチマークと、Linuxカーネルで実験を実行するプラットフォームを共有するkGymの上に構築されている。 CrashFixerはLinuxカーネルのバグに適応する最初のLCMベースのソフトウェア修復エージェントである。
論文参考訳（メタデータ） (2025-04-29T04:18:51Z)
Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
論文参考訳（メタデータ） (2025-04-24T12:06:11Z)
A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
論文参考訳（メタデータ） (2024-12-06T18:49:06Z)
Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文参考訳（メタデータ） (2024-11-12T01:55:51Z)
The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文参考訳（メタデータ） (2024-09-10T10:12:37Z)
Patch2QL: Discover Cognate Defects in Open Source Software Supply Chain With Auto-generated Static Analysis Rules [1.9591497166224197]
本稿では,SASTルールの自動生成によるOSSのコグネート欠陥の検出手法を提案する。具体的には、プリパッチバージョンとポストパッチバージョンから重要な構文と意味情報を抽出する。我々はPatch2QLというプロトタイプツールを実装し、それをC/C++の基本OSSに適用した。
論文参考訳（メタデータ） (2024-01-23T02:23:11Z)
On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。