論文の概要: Why Software Signing (Still) Matters: Trust Boundaries in the Software Supply Chain
- arxiv url: http://arxiv.org/abs/2510.04964v1
- Date: Mon, 06 Oct 2025 15:58:08 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-07 16:52:59.9676
- Title: Why Software Signing (Still) Matters: Trust Boundaries in the Software Supply Chain
- Title(参考訳): ソフトウェア署名が重要な理由 - ソフトウェアサプライチェーンにおける信頼境界
- Authors: Kelechi G. Kalu, James C. Davis,
- Abstract要約: 我々は、署名、証明、完全性、説明責任のコア保証が、異なるソフトウェア配布境界を越えて自動的に実行されるわけではないと主張している。
防御のベースライン層としての署名処理は、登録が安全であってもサプライチェーン保証を強化する。
- 参考スコア(独自算出の注目度): 7.338679524518469
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Software signing provides a formal mechanism for provenance by ensuring artifact integrity and verifying producer identity. It also imposes tooling and operational costs to implement in practice. In an era of centralized registries such as PyPI, npm, Maven Central, and Hugging Face, it is reasonable to ask whether hardening registry security controls obviates the need for end-to-end artifact signing. In this work, we posit that the core guarantees of signing, provenance, integrity, and accountability are not automatically carried across different software distribution boundaries. These boundaries include mirrors, corporate proxies, re-hosting, and air-gapped transfers, where registry security controls alone cannot provide sufficient assurance. We synthesize historical practice and present a trust model for modern distribution modes to identify when signing is necessary to extend trust beyond registry control. Treating signing as a baseline layer of defense strengthens software supply chain assurance even when registries are secure.
- Abstract(参考訳): ソフトウェア署名は、アーティファクトの完全性を確保し、プロデューサのアイデンティティを検証することによって、証明のための正式なメカニズムを提供する。
また、実際に実施するためのツールや運用コストも負担する。
PyPI、npm、Maven Central、Hugging Faceといった集中型レジストリの時代では、レジストリのセキュリティコントロールの強化によって、エンドツーエンドのアーティファクト署名の必要性がなくなるかどうかを問うのは理にかなっている。
本研究では、署名、証明、完全性、説明責任のコア保証が、異なるソフトウェア配布境界を越えて自動的に実行されないことを仮定する。
これらの境界には鏡、企業プロキシ、再ホスト、航空運送が含まれており、レジストリのセキュリティ管理だけで十分な保証が得られない。
歴史的実践を合成し,登録管理を超えて信頼を拡大するために署名が必要な時期を特定するため,近代的な流通モードの信頼モデルを提案する。
防衛のベースライン層としての署名処理は、レジストリがセキュアであっても、ソフトウェアサプライチェーンの保証を強化する。
関連論文リスト
- Reinforcing Secure Live Migration through Verifiable State Management [1.6204399921642334]
我々は,検証可能な状態管理と信頼性の高いアプリケーションマイグレーションのための軽量フレームワークTALOSを提案する。
TALOSはメモリイントロスペクションと制御フローグラフ抽出を統合し、状態継続性と実行フローの堅牢な検証を可能にする。
これにより、効率を保ちながら強力なセキュリティ保証を達成し、分散された設定に適合する。
論文 参考訳(メタデータ) (2025-09-05T14:41:48Z) - Bridging the Mobile Trust Gap: A Zero Trust Framework for Consumer-Facing Applications [51.56484100374058]
本稿では,信頼できないユーザ制御環境で動作するモバイルアプリケーションを対象としたZero Trustモデルを提案する。
デザインサイエンスの方法論を用いて、この研究は、実行時の信頼の強制をサポートする6つのピラーフレームワークを導入した。
提案したモデルは,デプロイ前コントロールを越えてモバイルアプリケーションをセキュアにするための,実用的で標準に準拠したアプローチを提供する。
論文 参考訳(メタデータ) (2025-08-20T18:42:36Z) - EILID: Execution Integrity for Low-end IoT Devices [12.193184827858326]
EILIDは、ローエンドデバイス上でのソフトウェア実行の整合性を保証するハイブリッドアーキテクチャである。
それは、ソフトウェア不変性を保証する、予防ベースの(アクティブな)ハイブリッドRoot-of-Trust (RoT)の上に構築されている。
論文 参考訳(メタデータ) (2025-01-16T00:31:39Z) - ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。
これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。
我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
論文 参考訳(メタデータ) (2024-11-21T18:26:05Z) - DiVerify: Hardening Identity-Based Software Signing with Programmable Diverse-Context Scopes [11.521573335215239]
最先端のIDベースのコード署名スキームには大きな欠点がある。
署名が生成されるコンテキストに関する検証可能な情報の提供に失敗する。
本稿では,検証の単一源への依存度を低減させる多種多様なアイデンティティ検証手法を提案する。
論文 参考訳(メタデータ) (2024-06-21T18:53:52Z) - An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。
私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
論文 参考訳(メタデータ) (2024-06-12T13:30:53Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。