論文の概要: Software Bill of Materials in Software Supply Chain Security A Systematic Literature Review
- arxiv url: http://arxiv.org/abs/2506.03507v1
- Date: Wed, 04 Jun 2025 02:49:04 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-06-05 21:20:14.114645
- Title: Software Bill of Materials in Software Supply Chain Security A Systematic Literature Review
- Title(参考訳): ソフトウェアサプライチェーンセキュリティにおける材料のソフトウェア法案 : 体系的文献レビュー
- Authors: Eric O'Donoghue, Yvette Hastings, Ernesto Ortiz, A. Redempta Manzi Muneza,
- Abstract要約: SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーン(Software supply chains, SSC)の確保に欠かせないツールであると考えられている。
この体系的な文献レビューは、現在SBOMがSSCセキュリティの強化にどのように使われているかを評価するために、40の査読された研究から証拠を合成する。
生成ツール、データプライバシ、フォーマット/標準化、共有/配布、コスト/オーバーヘッド、脆弱性のエクスプロイラビリティ、メンテナンス、分析ツール、偽陽性、隠されたパッケージ、改ざんなどである。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Software Bill of Materials (SBOMs) are increasingly regarded as essential tools for securing software supply chains (SSCs), yet their real-world use and adoption barriers remain poorly understood. This systematic literature review synthesizes evidence from 40 peer-reviewed studies to evaluate how SBOMs are currently used to bolster SSC security. We identify five primary application areas: vulnerability management, transparency, component assessment, risk assessment, and SSC integrity. Despite clear promise, adoption is hindered by significant barriers: generation tooling, data privacy, format/standardization, sharing/distribution, cost/overhead, vulnerability exploitability, maintenance, analysis tooling, false positives, hidden packages, and tampering. To structure our analysis, we map these barriers to the ISO/IEC 25019:2023 Quality-in-Use model, revealing critical deficiencies in SBOM trustworthiness, usability, and suitability for security tasks. We also highlight key gaps in the literature. These include the absence of applying machine learning techniques to assess SBOMs and limited evaluation of SBOMs and SSCs using software quality assurance techniques. Our findings provide actionable insights for researchers, tool developers, and practitioners seeking to advance SBOM-driven SSC security and lay a foundation for future work at the intersection of SSC assurance, automation, and empirical software engineering.
- Abstract(参考訳): ソフトウェア・ビル・オブ・マテリアル(SBOM)は、ソフトウェアサプライチェーン(SSC)を保護するための重要なツールとしてますます見なされているが、実際の使用と採用障壁はよく分かっていない。
この体系的な文献レビューは、現在SBOMがSSCセキュリティの強化にどのように使われているかを評価するために、40の査読された研究から証拠を合成する。
脆弱性管理、透明性、コンポーネントアセスメント、リスクアセスメント、SSC整合性の5つの主要なアプリケーション領域を特定します。
生成ツール、データプライバシ、フォーマット/標準化、共有/配布、コスト/オーバーヘッド、脆弱性のエクスプロイラビリティ、メンテナンス、分析ツール、偽陽性、隠されたパッケージ、改ざんなどである。
分析を構造化するために、これらの障壁をISO/IEC 25019:2023品質・イン・ユースモデルにマッピングし、SBOMの信頼性、ユーザビリティ、セキュリティタスクに対する適合性の重大な欠陥を明らかにする。
文学における重要なギャップも強調する。
例えば、SBOMの評価に機械学習技術を適用することや、ソフトウェア品質保証技術を用いてSBOMとSSCを限定的に評価することなどが挙げられる。
我々の発見は、研究者、ツール開発者、およびSBOM主導のSSCセキュリティを推進し、SSC保証、自動化、経験的ソフトウェア工学の交差点で将来の研究の基盤を築こうとする実践者に対して、実用的な洞察を提供する。
関連論文リスト
- Advancing Software Quality: A Standards-Focused Review of LLM-Based Assurance Techniques [0.0]
大規模言語モデル(LLM)は、既存のソフトウェア品質保証プロセスを強化する新しい機会を提供する。
LLMは要件分析、コードレビュー、テスト生成、コンプライアンスチェックなどのタスクを自動化することができる。
本稿では,LLMに基づくSQA手法と認識基準の交差について検討する。
論文 参考訳(メタデータ) (2025-05-19T22:49:30Z) - Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。
敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。
GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
論文 参考訳(メタデータ) (2025-03-30T13:26:00Z) - Bringing Order Amidst Chaos: On the Role of Artificial Intelligence in Secure Software Engineering [0.0]
進化を続ける技術的景観は、機会と脅威の両方を提供し、カオスと秩序が競合する動的な空間を作り出す。
セキュアなソフトウェアエンジニアリング(SSE)は、ソフトウェアシステムを危険にさらす脆弱性に継続的に対処しなければならない。
この論文は、AIの精度に影響を与えるドメイン固有の違いに対処することで、SSEのカオスに秩序をもたらすことを目指している。
論文 参考訳(メタデータ) (2025-01-09T11:38:58Z) - Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
我々は、SBOMのアウトプットに組み込むことができる信頼について、より深く、体系的に調査する。
論文 参考訳(メタデータ) (2024-12-06T15:52:12Z) - A Critical Analysis of Foundations, Challenges and Directions for Zero Trust Security in Cloud Environments [0.0]
本稿では,クラウドコンピューティングにおけるゼロトラストセキュリティ(ZTS)の理論的枠組みと応用展望について論じる。
本稿では、マイクロセグメンテーション、最小特権アクセス、連続監視など、ZTSの中核となる原理を解析する。
信頼の保証をゼロにする主な障壁は、大規模生産におけるパフォーマンスの低下の次元を含む概説された。
論文 参考訳(メタデータ) (2024-11-09T10:26:02Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - A Security Assessment tool for Quantum Threat Analysis [34.94301200620856]
量子コンピューティングの急速な進歩は、セキュアな通信、デジタル認証、情報暗号化に使われる多くの現在のセキュリティアルゴリズムに重大な脅威をもたらす。
十分に強力な量子コンピュータは、これらのアルゴリズムの脆弱性を悪用し、安全でないトランジットでデータをレンダリングする可能性がある。
この研究は、企業のための量子アセスメントツールを開発し、セキュリティプロトコルをポスト量子世界へ移行するための適切なレコメンデーションを提供する。
論文 参考訳(メタデータ) (2024-07-18T13:58:34Z) - REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。
脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。
大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
論文 参考訳(メタデータ) (2023-09-15T02:50:08Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。