論文の概要: ORCA: Unveiling Obscure Containers In The Wild
- arxiv url: http://arxiv.org/abs/2509.09322v1
- Date: Thu, 11 Sep 2025 10:12:56 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-12 16:52:24.334607
- Title: ORCA: Unveiling Obscure Containers In The Wild
- Title(参考訳): ORCA:荒れ果てたコンテナを野生で公開
- Authors: Jacopo Bufalino, Agathe Blaise, Stefano Secci,
- Abstract要約: ソフトウェア構成分析(SCA)は、コンテナ内のパッケージや依存関係を特定するのに役立つ重要なプロセスです。
本稿では,クラウドベースのSCAツールとオープンソースSCAツールが,このような不明瞭なイメージに直面している場合の限界について検討する。
本稿では,コンテナ解析の難読化手法を提案し,そのオープンソース実装であるORCAを紹介する。
- 参考スコア(独自算出の注目度): 2.412902381004722
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Modern software development increasingly depends on open-source libraries and third-party components, which are often encapsulated into containerized environments. While improving the development and deployment of applications, this approach introduces security risks, particularly when outdated or vulnerable components are inadvertently included in production environments. Software Composition Analysis (SCA) is a critical process that helps identify and manage packages and dependencies inside a container. However, unintentional modifications to the container filesystem can lead to incomplete container images, which compromise the reliability of SCA tools. In this paper, we examine the limitations of both cloud-based and open-source SCA tools when faced with such obscure images. An analysis of 600 popular containers revealed that obscure containers exist in well-known registries and trusted images and that many tools fail to analyze such containers. To mitigate these issues, we propose an obscuration-resilient methodology for container analysis and introduce ORCA (Obscuration-Resilient Container Analyzer), its open-source implementation. We reported our findings to all vendors using their appropriate channels. Our results demonstrate that ORCA effectively detects the content of obscure containers and achieves a median 40% improvement in file coverage compared to Docker Scout and Syft.
- Abstract(参考訳): 現代のソフトウェア開発はますます、コンテナ化された環境にカプセル化されるオープンソースのライブラリやサードパーティのコンポーネントに依存している。
アプリケーションの開発とデプロイを改善する一方で、このアプローチは、特に古いコンポーネントや脆弱なコンポーネントが運用環境に不注意に含まれている場合に、セキュリティリスクをもたらす。
ソフトウェア構成分析(SCA)は、コンテナ内のパッケージや依存関係を特定し管理するための重要なプロセスである。
しかしながら、コンテナファイルシステムの意図しない変更は、不完全なコンテナイメージを引き起こし、SCAツールの信頼性を損なう可能性がある。
本稿では,クラウドベースのSCAツールとオープンソースSCAツールが,このような不明瞭なイメージに直面している場合の限界について検討する。
600の人気のあるコンテナの分析により、よく知られたレジストリや信頼できるイメージに不明瞭なコンテナが存在し、多くのツールがそのようなコンテナを分析できないことが明らかになった。
これらの問題を緩和するため,コンテナ分析のための難読化回復方法論を提案し,そのオープンソース実装であるORCA(Obscuration-Resilient Container Analyzer)を導入する。
適切なチャネルを使用してすべてのベンダーに調査結果を報告した。
以上の結果から,ORCAは不明瞭なコンテナの内容を効果的に検出し,Docker ScoutやSyftと比較してファイルカバレッジの中央値40%の改善を実現している。
関連論文リスト
- A.S.E: A Repository-Level Benchmark for Evaluating Security in AI-Generated Code [48.10068691540979]
A.S.E(AI Code Generation Security Evaluation、AIコード生成セキュリティ評価)は、現実のAIプログラミングタスクを密接に反映するように設計されたリポジトリレベルの評価ベンチマークである。
大規模言語モデル(LLM)をA.S.E上で評価した結果,いくつかの重要な知見が得られた。
論文 参考訳(メタデータ) (2025-08-25T15:11:11Z) - Malware Detection in Docker Containers: An Image is Worth a Thousand Logs [10.132362061193954]
本稿では,ファイルシステムの機械学習解析により,漏洩したコンテナを識別する手法を提案する。
ソフトウェアコンテナ全体をタールボール表現を通じて大きなRGBイメージにキャストし、既存の畳み込みニューラルネットワークアーキテクチャをストリーミングでパッチベースの方法で使用することを提案する。
提案手法は,ウイルスTotalエンジンの個別およびアンサンブルよりも高いF1とリコールスコアを達成し,その有効性を実証し,マルウェアにコンパイルされたソフトウェアコンテナを識別するための新しい標準を設定する。
論文 参考訳(メタデータ) (2025-04-04T07:38:16Z) - Vexed by VEX tools: Consistency evaluation of container vulnerability scanners [0.0]
本稿では,コンテナに適用された最先端の脆弱性スキャンツールについて検討する。
Vulnerability Exploitability eXchange (VEX) フォーマットに従うツールの開発に注力しています。
論文 参考訳(メタデータ) (2025-03-18T16:22:43Z) - Bomfather: An eBPF-based Kernel-level Monitoring Framework for Accurate Identification of Unknown, Unused, and Dynamically Loaded Dependencies in Modern Software Supply Chains [0.0]
依存性追跡手法の不正確さは、現代のソフトウェアサプライチェーンのセキュリティと整合性を損なう。
本稿では,拡張バークレーパケットフィルタ(eBPF)を利用したカーネルレベルのフレームワークを提案する。
論文 参考訳(メタデータ) (2025-03-03T22:32:59Z) - A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。
この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。
本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
論文 参考訳(メタデータ) (2024-12-06T18:49:06Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - "Glue pizza and eat rocks" -- Exploiting Vulnerabilities in Retrieval-Augmented Generative Models [74.05368440735468]
Retrieval-Augmented Generative (RAG)モデルにより大規模言語モデル(LLM)が強化される
本稿では,これらの知識基盤の開放性を敵が活用できるセキュリティ上の脅威を示す。
論文 参考訳(メタデータ) (2024-06-26T05:36:23Z) - Alibaba LingmaAgent: Improving Automated Issue Resolution via Comprehensive Repository Exploration [64.19431011897515]
本稿では,問題解決のためにソフトウェアリポジトリ全体を包括的に理解し,活用するために設計された,新しいソフトウェアエンジニアリング手法であるAlibaba LingmaAgentを提案する。
提案手法では,重要なリポジトリ情報を知識グラフに凝縮し,複雑さを低減し,モンテカルロ木探索に基づく戦略を採用する。
Alibaba Cloudの製品展開と評価において、LingmaAgentは、開発エンジニアが直面した社内問題の16.9%を自動で解決し、手作業による介入で43.3%の問題を解決した。
論文 参考訳(メタデータ) (2024-06-03T15:20:06Z) - LUCID: A Framework for Reducing False Positives and Inconsistencies Among Container Scanning Tools [0.0]
本稿では,複数のスキャンツールによって提供される偽陽性や不整合を低減できるLUCIDというフレームワークを提案する。
その結果,我々のフレームワークは不整合を70%削減できることがわかった。
また、異なる重大度レベルを84%の精度で分類し、予測できる動的分類コンポーネントを作成します。
論文 参考訳(メタデータ) (2024-05-11T16:58:28Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。