論文の概要: SBOMproof: Beyond Alleged SBOM Compliance for Supply Chain Security of Container Images
- arxiv url: http://arxiv.org/abs/2510.05798v1
- Date: Tue, 07 Oct 2025 11:17:51 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-08 17:57:08.222209
- Title: SBOMproof: Beyond Alleged SBOM Compliance for Supply Chain Security of Container Images
- Title(参考訳): SBOMproof:コンテナイメージのサプライチェーンセキュリティのためのSBOM準拠以上のもの
- Authors: Jacopo Bufalino, Mario Di Francesco, Agathe Blaise, Stefano Secci,
- Abstract要約: 政府は最近、ベンダーがエンドユーザや規制当局と資料のソフトウェア法案を共有することを要求するサイバーセキュリティ規制を導入した。
SBOMは、ソースコードにアクセスしなくても、ソフトウェアコンポーネントのセキュリティ脆弱性を特定するために使用できる。
本研究は、SBOM生成および脆弱性スキャンのためのツールの包括的な研究を通じてこの問題を評価する。
- 参考スコア(独自算出の注目度): 3.101218489580587
- License: http://creativecommons.org/publicdomain/zero/1.0/
- Abstract: Supply chain security is extremely important for modern applications running at scale in the cloud. In fact, they involve a large number of heterogeneous microservices that also include third-party software. As a result, security vulnerabilities are hard to identify and mitigate before they start being actively exploited by attackers. For this reason, governments have recently introduced cybersecurity regulations that require vendors to share a software bill of material (SBOM) with end users or regulators. An SBOM can be employed to identify the security vulnerabilities of a software component even without access to its source code, as long as it is accurate and interoperable across different tools. This work evaluates this issue through a comprehensive study of tools for SBOM generation and vulnerability scanning, including both open-source software and cloud services from major providers. We specifically target software containers and focus on operating system packages in Linux distributions that are widely used as base images due to their far-reaching security impact. Our findings show that the considered tools are largely incompatible, leading to inaccurate reporting and a large amount of undetected vulnerabilities. We uncover the SBOM confusion vulnerability, a byproduct of such fragmented ecosystem, where inconsistent formats prevent reliable vulnerability detection across tools.
- Abstract(参考訳): サプライチェーンのセキュリティは、クラウドで大規模に実行される現代的なアプリケーションにとって非常に重要です。
実際、これらには、サードパーティ製ソフトウェアを含む多数の異種マイクロサービスが含まれています。
その結果、攻撃者が積極的に悪用される前に、セキュリティ上の脆弱性を識別し、緩和することは困難である。
このため、政府は最近、ベンダーがエンドユーザや規制当局とSBOM(Software Bill of Materials)を共有することを要求するサイバーセキュリティ規制を導入した。
SBOMは、ソースコードにアクセスせずにソフトウェアコンポーネントのセキュリティ脆弱性を特定するために使用することができる。
この研究は、主要なプロバイダのオープンソースソフトウェアとクラウドサービスを含む、SBOM生成と脆弱性スキャンのためのツールの包括的な研究を通じて、この問題を評価します。
ソフトウェアコンテナを特にターゲットとし、LinuxディストリビューションのOSパッケージに重点を置いています。
調査の結果,検討対象のツールはほとんど互換性がなく,不正確な報告や未検出の脆弱性が多数発生していることがわかった。
このような断片化されたエコシステムの副産物であるSBOMの混乱脆弱性を明らかにする。
関連論文リスト
- Enabling Security on the Edge: A CHERI Compartmentalized Network Stack [42.78181795494584]
CHERIは、きめ細かい区画化とメモリ保護を可能にすることにより、ハードウェアレベルでの強力なセキュリティを提供する。
ケーススタディでは,Arm Morelloプラットフォーム上にデプロイされたCheriBSDシステム上での分離アプリケーション,TCP/IPライブラリ,ネットワークドライバのトレードオフについて検討した。
論文 参考訳(メタデータ) (2025-07-07T09:37:59Z) - CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。
既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。
我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
論文 参考訳(メタデータ) (2025-06-03T07:35:14Z) - A Virtual Cybersecurity Department for Securing Digital Twins in Water Distribution Systems [39.58317527488534]
デジタルツイン(DT)は、配水システムにおけるリアルタイムモニタリングと意思決定の改善を支援する。
接続性により、スキャン、DoS(DoS)、不正アクセスなどのサイバー攻撃の標的が容易になる。
我々は、中小企業向けに設計された安価で自動化されたフレームワークであるVirtual Cybersecurity Department(VCD)を紹介する。
論文 参考訳(メタデータ) (2025-04-28T21:14:48Z) - Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
我々は、SBOMのアウトプットに組み込むことができる信頼について、より深く、体系的に調査する。
論文 参考訳(メタデータ) (2024-12-06T15:52:12Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。
SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。