論文の概要: NodeShield: Runtime Enforcement of Security-Enhanced SBOMs for Node.js
- arxiv url: http://arxiv.org/abs/2508.13750v1
- Date: Tue, 19 Aug 2025 11:43:06 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-08-20 15:36:31.905562
- Title: NodeShield: Runtime Enforcement of Security-Enhanced SBOMs for Node.js
- Title(参考訳): NodeShield: Node.jsのセキュリティ強化SBOMの実行時強化
- Authors: Eric Cornelissen, Musard Balliu,
- Abstract要約: ソフトウェアサプライチェーンは、悪意のあるアクターにとってますます一般的な攻撃ベクターである。
このような攻撃に対抗するため、研究コミュニティと実践者は、様々な静的および動的メカニズムを提案してきた。
本稿では,Node.jsアプリケーションの(サプライチェーンの)ランタイム保護機構について,互換性,自動化,オーバーヘッドの最小化,ポリシの簡潔さという野心的な目標を掲げて検討する。
- 参考スコア(独自算出の注目度): 4.851085190857858
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: The software supply chain is an increasingly common attack vector for malicious actors. The Node.js ecosystem has been subject to a wide array of attacks, likely due to its size and prevalence. To counter such attacks, the research community and practitioners have proposed a range of static and dynamic mechanisms, including process- and language-level sandboxing, permission systems, and taint tracking. Drawing on valuable insight from these works, this paper studies a runtime protection mechanism for (the supply chain of) Node.js applications with the ambitious goals of compatibility, automation, minimal overhead, and policy conciseness. Specifically, we design, implement and evaluate NodeShield, a protection mechanism for Node.js that enforces an application's dependency hierarchy and controls access to system resources at runtime. We leverage the up-and-coming SBOM standard as the source of truth for the dependency hierarchy of the application, thus preventing components from stealthily abusing undeclared components. We propose to enhance the SBOM with a notion of capabilities that represents a set of related system resources a component may access. Our proposed SBOM extension, the Capability Bill of Materials or CBOM, records the required capabilities of each component, providing valuable insight into the potential privileged behavior. NodeShield enforces the SBOM and CBOM at runtime via code outlining (as opposed to inlining) with no modifications to the original code or Node.js runtime, thus preventing unexpected, potentially malicious behavior. Our evaluation shows that NodeShield can prevent over 98% out of 67 known supply chain attacks while incurring minimal overhead on servers at less than 1ms per request. We achieve this while maintaining broad compatibility with vanilla Node.js and a concise policy language that consists of at most 7 entries per dependency.
- Abstract(参考訳): ソフトウェアサプライチェーンは、悪意のあるアクターにとってますます一般的な攻撃ベクターである。
Node.jsエコシステムは、おそらくそのサイズと頻度のために、幅広い攻撃を受けてきた。
このような攻撃に対抗するため、研究コミュニティと実践者は、プロセスレベルおよび言語レベルのサンドボックス、パーミッションシステム、テイントトラッキングなど、様々な静的および動的メカニズムを提案してきた。
これらの研究から得られた貴重な知見に基づいて、互換性、自動化、最小限のオーバーヘッド、ポリシーの簡潔さという野心的な目標を掲げた、Node.jsアプリケーションの(サプライチェーン)ランタイム保護メカニズムについて研究する。
具体的には、Node.jsの保護メカニズムであるNodeShieldを設計、実装、評価します。
我々は、アプリケーションの依存性階層の真理の源として、最新のSBOM標準を活用し、コンポーネントが密かに宣言されていないコンポーネントを悪用することを防ぐ。
本稿では,コンポーネントがアクセス可能なシステムリソースの集合を表す機能の概念を用いて,SBOMを強化することを提案する。
提案するSBOM拡張(Capability Bill of Materials, CBOM)は,各コンポーネントに必要な機能を記録し,潜在的特権行動に関する貴重な知見を提供する。
NodeShieldは、オリジナルのコードやNode.jsランタイムを変更することなく(インライン化とは対照的に)コードアウトラインを通じて、実行時にSBOMとCBOMを強制する。
我々の評価によると、NodeShieldは67のサプライチェーン攻撃のうち98%以上を防ぎ、リクエスト毎に1ミリ秒未満でサーバのオーバーヘッドを最小限に抑えることができる。
私たちは、バニラNode.jsとの広範な互換性を維持しながら、これを達成しています。
関連論文リスト
- JavaSith: A Client-Side Framework for Analyzing Potentially Malicious Extensions in Browsers, VS Code, and NPM Packages [0.0]
JavaSithは、Webブラウザ、Visual Studio Code(VSCode)、NodeのNPMパッケージで潜在的に悪意のある拡張を分析する新しいフレームワークである。
本稿では,JavaSithの設計とアーキテクチャについて述べる。
我々は、JavaSithが従来の検出を回避したステルスな悪意のある振る舞いをキャッチできることを実証する。
論文 参考訳(メタデータ) (2025-05-27T14:40:25Z) - DoomArena: A framework for Testing AI Agents Against Evolving Security Threats [84.94654617852322]
本稿では,AIエージェントのセキュリティ評価フレームワークであるDoomArenaを紹介する。
プラグインフレームワークであり、現実的なエージェントフレームワークと簡単に統合できる。
モジュールであり、エージェントがデプロイされる環境の詳細から攻撃の開発を分離する。
論文 参考訳(メタデータ) (2025-04-18T20:36:10Z) - In Specs we Trust? Conformance-Analysis of Implementation to Specifications in Node-RED and Associated Security Risks [6.145420182634924]
本稿では,Node-REDノードの"隠れた"情報フローに焦点を当てる。
この結果、全てのノードの55%が、指定されている以上のフローの可能性を示している。
論文 参考訳(メタデータ) (2025-02-13T09:53:00Z) - SBOM.EXE: Countering Dynamic Code Injection based on Software Bill of Materials in Java [10.405775369526006]
ソフトウェアサプライチェーンの攻撃は重大な脅威となっている。
従来のセーフガードは、ビルド時にサプライチェーン攻撃を軽減することができるが、実行時の脅威を軽減するには限界がある。
本稿では,SBOM.EXEについて紹介する。SBOM.EXEは,Javaアプリケーションをそのような脅威から保護するためのプロアクティブシステムである。
論文 参考訳(メタデータ) (2024-06-28T22:08:17Z) - Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。
我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。
AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
論文 参考訳(メタデータ) (2024-06-18T17:32:48Z) - AdaShield: Safeguarding Multimodal Large Language Models from Structure-based Attack via Adaptive Shield Prompting [54.931241667414184]
textbfAdaptive textbfShield Promptingを提案する。これは、MLLMを構造ベースのジェイルブレイク攻撃から守るための防御プロンプトで入力をプリペイドする。
我々の手法は、構造に基づくジェイルブレイク攻撃に対するMLLMの堅牢性を一貫して改善することができる。
論文 参考訳(メタデータ) (2024-03-14T15:57:13Z) - Unveiling the Invisible: Detection and Evaluation of Prototype Pollution Gadgets with Dynamic Taint Analysis [4.8966278983718405]
本稿では、開発者がアプリケーションのソフトウェアサプライチェーンにあるガジェットを識別するのに役立つ最初の半自動パイプラインであるDastyを提案する。
DastyはサーバーサイドのNode.jsアプリケーションをターゲットにしており、動的テナント分析の強化に依存している。
私たちは、最も依存度の高いNPMパッケージの研究にDastyを使って、ACEにつながるガジェットの存在を分析します。
論文 参考訳(メタデータ) (2023-11-07T11:55:40Z) - Formalizing and Benchmarking Prompt Injection Attacks and Defenses [59.57908526441172]
本稿では,迅速なインジェクション攻撃を形式化するフレームワークを提案する。
フレームワークに基づいて、既存のものを組み合わせることで、新たな攻撃を設計します。
我々の研究は、将来のプロンプトインジェクション攻撃と防御を定量的に評価するための共通のベンチマークを提供する。
論文 参考訳(メタデータ) (2023-10-19T15:12:09Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。