論文の概要: A Large Scale Empirical Analysis on the Adherence Gap between Standards and Tools in SBOM
- arxiv url: http://arxiv.org/abs/2601.05622v1
- Date: Fri, 09 Jan 2026 08:26:05 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-01-12 17:41:49.909904
- Title: A Large Scale Empirical Analysis on the Adherence Gap between Standards and Tools in SBOM
- Title(参考訳): SBOMにおける標準とツール間の付着ギャップに関する大規模実証分析
- Authors: Chengjie Wang, Jingzheng Wu, Hao Lyu, Xiang Ling, Tianyue Luo, Yanjun Wu, Chen Zhao,
- Abstract要約: ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェア情報を整理する機械読み取り可能なアーティファクトである。
標準に従って、組織はSBOMの生成と利用のためのツールを開発した。
本稿では,我々の自動評価フレームワークであるSAPを用いて,接着ギャップの大規模2段階解析を行った。
- 参考スコア(独自算出の注目度): 54.38424417079265
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: A Software Bill of Materials (SBOM) is a machine-readable artifact that systematically organizes software information, enhancing supply chain transparency and security. To facilitate the exchange and utilization of SBOMs, organizations such as the Linux Foundation and OWASP have proposed SBOM standards. Following standards, organizations have developed tools for generating and utilizing SBOMs. However, limited research has examined the adherence of these SBOM tools to standard specifications, a gap that could lead to compliance failures and disruptions in SBOM utilization. This paper presents the first large-scale, two-stage empirical analysis of the adherence gap, using our automated evaluation framework, SAP. The evaluation, comprising a baseline evaluation and a one-year longitudinal follow-up, covers 55,444 SBOMs generated by six SBOM tools from 3,287 real-world repositories. Our analysis reveals persistent, fundamental limitations in current SBOM tools: (1) inadequate compliance support with policy requirements; (2) poor tool consistencies, including inter-tool consistency rates as low as 7.84% to 12.77% for package detection across languages, and significant longitudinal inconsistency, where tools show low consistency with their own prior versions; and (3) mediocre to poor accuracy for detailed software information, e.g., accuracy of package licenses below 20%. We analyze the root causes of these gaps and provide practical solutions. All the code, replication docker image, evaluation results are open sourced at [GitHub](https://github.com/dw763j/SAP) and [Zenodo](https://doi.org/10.5281/zenodo.14998624) for further researches.
- Abstract(参考訳): ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェア情報を体系的に整理し、サプライチェーンの透明性とセキュリティを高める機械読み取り可能なアーティファクトである。
SBOMの交換と利用を容易にするため、Linux FoundationやOWASPといった組織がSBOM標準を提案している。
標準に従って、組織はSBOMの生成と利用のためのツールを開発した。
しかし、これらのSBOMツールの標準仕様への準拠性について限定的な研究が行われており、これはSBOM利用におけるコンプライアンスの失敗と破壊に繋がる可能性がある。
本稿では,我々の自動評価フレームワークであるSAPを用いて,接着ギャップの大規模2段階解析を行った。
3,287個の実世界のリポジトリから6個のSBOMツールによって生成された55,444個のSBOMについて,ベースライン評価と1年間の追跡を行った。
1)ポリシー要件に対するコンプライアンスサポートの不十分,(2)言語間のパッケージ検出におけるツール間整合率が7.84%から12.77%と低い,およびツールが以前のバージョンとの整合性が低い,相当な経時的不整合性,(3)詳細なソフトウェア情報,例えばパッケージライセンスの精度が20%未満である,といった不整合性などである。
これらのギャップの根本原因を分析し、実用的な解決策を提供する。
すべてのコード、複製ダッカーイメージ、評価結果は、さらなる研究のために [GitHub] (https://github.com/dw763j/SAP) と [Zenodo] (https://doi.org/10.5281/zenodo.14998624) でオープンソース化されている。
関連論文リスト
- UniBOM -- A Unified SBOM Analysis and Visualisation Tool for IoT Systems and Beyond [0.23332469289621785]
本稿では,UniBOMについて紹介する。UniBOMは,材料生成・分析・可視化のための高度なツールである。
UniBOMはバイナリ、脆弱性、ソースコード解析を統合し、きめ細かい脆弱性検出とリスク管理を可能にする。
主な機能としては、履歴追跡、重大度によるAIベースの分類、メモリ安全性、非パッケージ管理のC/C++依存関係のサポートなどがある。
論文 参考訳(メタデータ) (2025-11-27T11:50:58Z) - InfoMosaic-Bench: Evaluating Multi-Source Information Seeking in Tool-Augmented Agents [60.89180545430896]
InfoMosaic-Benchは、ツール拡張されたエージェントを探すマルチソース情報に特化した最初のベンチマークである。
汎用検索とドメイン固有のツールを組み合わせるにはエージェントが必要である。
この設計は信頼性と非自明性の両方を保証する。
論文 参考訳(メタデータ) (2025-10-02T17:48:03Z) - Policy-driven Software Bill of Materials on GitHub: An Empirical Study [14.398115591070727]
ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials、SBOM)は、ソフトウェアに含まれるすべてのソフトウェア依存関係の機械可読リストである。
政府がSBOMを使用する義務があるにもかかわらず、このアーティファクトの研究はまだ初期段階にある。
論文 参考訳(メタデータ) (2025-09-01T08:45:39Z) - ThinkGeo: Evaluating Tool-Augmented Agents for Remote Sensing Tasks [64.86209459039313]
ThinkGeoは、構造化ツールの使用とマルチステップ計画を通じて、リモートセンシングタスクにおけるツール拡張エージェントを評価するために設計されたエージェントベンチマークである。
我々はReActスタイルの対話ループを実装し,486 個の構造化エージェントタスク上でのオープンソース LLM とクローズドソース LLM の両方を1,773 個の専門家が検証した推論ステップで評価する。
分析の結果、ツールの精度とモデル間の計画整合性に顕著な相違が明らかになった。
論文 参考訳(メタデータ) (2025-05-29T17:59:38Z) - A Dataset of Software Bill of Materials for Evaluating SBOM Consumption Tools [6.081142345739704]
ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェアで使用されるコンポーネントの一覧である。
多くのツールは、SBOMを通じてソフトウェア依存の管理をサポートする。
この目的のために特別に設計されたデータセットは公開されていない。
実世界のJavaプロジェクトから生成されたSBOMのデータセットを示す。
論文 参考訳(メタデータ) (2025-04-09T13:35:02Z) - Adaptive Tool Use in Large Language Models with Meta-Cognition Trigger [49.81945268343162]
我々は,外部ツール利用のための適応型意思決定戦略であるMeCoを提案する。
MeCoは、表現空間内の高レベル認知信号をキャプチャすることで、メタ認知スコアを定量化する。
MeCoは微調整不要で、最小限のコストがかかる。
論文 参考訳(メタデータ) (2025-02-18T15:45:01Z) - Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
我々は、SBOMのアウトプットに組み込むことができる信頼について、より深く、体系的に調査する。
論文 参考訳(メタデータ) (2024-12-06T15:52:12Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。