論文の概要: The Hidden Dangers of Public Serverless Repositories: An Empirical Security Assessment

• arxiv url: http://arxiv.org/abs/2510.17311v1
• Date: Mon, 20 Oct 2025 08:54:31 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-25 00:56:39.375737
• Title: The Hidden Dangers of Public Serverless Repositories: An Empirical Security Assessment
• Title（参考訳）: パブリックなサーバレスリポジトリの隠れた危険 - 実証的なセキュリティ評価
• Authors: Eduard Marin, Jinwoo Kim, Alessio Pavoni, Mauro Conti, Roberto Di Pietro,
• Abstract要約: サーバーレスコンピューティングは、目立ったクラウドパラダイムとして急速に現れてきた。 パブリックなサーバレスリポジトリは、サーバレスアプリケーションの開発を加速する鍵となっている。 本稿では、パブリックリポジトリにホストされているサーバレスコンポーネントのセキュリティ状況について、初めて包括的な分析を行った。
• 参考スコア（独自算出の注目度）: 23.682392625451886
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Serverless computing has rapidly emerged as a prominent cloud paradigm, enabling developers to focus solely on application logic without the burden of managing servers or underlying infrastructure. Public serverless repositories have become key to accelerating the development of serverless applications. However, their growing popularity makes them attractive targets for adversaries. Despite this, the security posture of these repositories remains largely unexplored, exposing developers and organizations to potential risks. In this paper, we present the first comprehensive analysis of the security landscape of serverless components hosted in public repositories. We analyse 2,758 serverless components from five widely used public repositories popular among developers and enterprises, and 125,936 Infrastructure as Code (IaC) templates across three widely used IaC frameworks. Our analysis reveals systemic vulnerabilities including outdated software packages, misuse of sensitive parameters, exploitable deployment configurations, susceptibility to typo-squatting attacks and opportunities to embed malicious behaviour within compressed serverless components. Finally, we provide practical recommendations to mitigate these threats.
• Abstract（参考訳）: サーバーレスコンピューティングは、目立ったクラウドパラダイムとして急速に現れており、開発者はサーバーや基盤となるインフラの管理を負担することなく、アプリケーションロジックのみに集中することができる。 パブリックなサーバレスリポジトリは、サーバレスアプリケーションの開発を加速する鍵となっている。 しかし、その人気が高まり、敵にとっては魅力的なターゲットとなっている。 しかし、これらのリポジトリのセキュリティ姿勢はほとんど解明されておらず、開発者や組織が潜在的なリスクにさらされている。 本稿では、パブリックリポジトリにホストされているサーバーレスコンポーネントのセキュリティ状況について、初めて包括的な分析を行う。 開発者や企業で広く使用されている5つのパブリックリポジトリから,2,758のサーバレスコンポーネントを分析しました。 我々の分析では、古いソフトウェアパッケージ、機密パラメータの誤用、悪用可能なデプロイメント構成、タイプミス攻撃に対する感受性、圧縮されたサーバーレスコンポーネントに悪意のある振る舞いを埋め込む機会など、システム上の脆弱性を明らかにしている。 最後に、これらの脅威を軽減するための実用的なレコメンデーションを提供します。

関連論文リスト

• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• FaaSGuard: Secure CI/CD for Serverless Applications -- An OpenFaaS Case Study [6.537757894952025]
  サーバレスコンピューティングは、インフラストラクチャ管理を抽象化し、迅速でモジュール化されたイベント駆動デプロイメントを可能にすることで、ソフトウェア開発を大きく変えます。 そのメリットにもかかわらず、サーバレス機能は、特にOpenFのようなオープンソースのプラットフォームにおいて、ユニークなセキュリティ上の課題を生じさせる。 既存のアプローチは一般的に、統合された包括的なセキュリティ戦略が欠如しているDevSecOpsライフサイクルの独立したフェーズに対処する。 我々は、オープンソースのサーバレス環境用に明示的に設計された統合DevSecOpsパイプラインであるFGuardを提案する。
  論文  参考訳（メタデータ） (2025-09-04T15:48:13Z)
• OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
  OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。 従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。 ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
  論文  参考訳（メタデータ） (2025-07-08T16:18:54Z)
• Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
  オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。 1,756の脆弱性のあるオープンソースプロジェクトを特定しました。 当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
  論文  参考訳（メタデータ） (2025-05-26T16:29:21Z)
• Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
  デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。 本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。 私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
  論文  参考訳（メタデータ） (2025-04-24T12:06:11Z)
• The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
  私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。 約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。 また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
  論文  参考訳（メタデータ） (2025-04-05T13:45:27Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Detection of Compromised Functions in a Serverless Cloud Environment [24.312198733476063]
  サーバレスコンピューティングは、サーバーレス関数が中心となる、新たなクラウドパラダイムである。 既存のセキュリティソリューションは、すべてのサーバレスアーキテクチャに適用できない。 拡張可能なサーバレスセキュリティ脅威検出モデルを提案する。
  論文  参考訳（メタデータ） (2024-08-05T17:14:35Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• Exploring Security Practices in Infrastructure as Code: An Empirical Study [54.669404064111795]
  クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。 スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。 セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
  論文  参考訳（メタデータ） (2023-08-07T23:43:32Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。