論文の概要: Build Code is Still Code: Finding the Antidote for Pipeline Poisoning

• arxiv url: http://arxiv.org/abs/2601.08995v1
• Date: Tue, 13 Jan 2026 21:35:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-15 18:59:20.173486
• Title: Build Code is Still Code: Finding the Antidote for Pipeline Poisoning
• Title（参考訳）: ビルドコードはまだコードである - パイプライン毒殺のための解毒剤を見つける
• Authors: Brent Pappas, Paul Gazzillo,
• Abstract要約: Cプロジェクトには、開発タスクを自動化するビルドシステムコードも含まれている。 これらのビルドシステムは、ソフトウェアサプライチェーンのセキュリティに批判的であり、毒に弱い。 本研究は, 防毒システム構築のための新戦略である開発段階分離について述べる。
• 参考スコア（独自算出の注目度）: 4.904389322133549
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Open source C code underpins society's computing infrastructure. Decades of work has helped harden C code against attackers, but C projects do not consist of only C code. C projects also contain build system code for automating development tasks like compilation, testing, and packaging. These build systems are critcal to software supply chain security and vulnerable to being poisoned, with the XZ Utils and SolarWinds attacks being recent examples. Existing techniques try to harden software supply chains by verifying software dependencies, but such methods ignore the build system itself. Similarly, classic software security checkers only analyze and monitor program code, not build system code. Moreover, poisoned build systems can easily circumvent tools for detecting program code vulnerabilities by disabling such checks. We present development phase isolation, a novel strategy for hardening build systems against poisoning by modeling the information and behavior permissions of build automation as if it were program code. We have prototyped this approach as a tool called Foreman, which successfully detects and warns about the poisoned test files involved in the XZ Utils attack. We outline our future plans to protect against pipeline poisoning by automatically checking development phase isolation. We envision a future where build system security checkers are as prevalent as program code checkers.
• Abstract（参考訳）: オープンソースCコードは、社会のコンピューティング基盤を支える。 数十年にわたる作業は、攻撃者に対するCコードの強化に役立っているが、CプロジェクトはCコードのみで構成されていない。 Cプロジェクトにはコンパイル、テスト、パッケージングといった開発タスクを自動化するビルドシステムコードも含まれている。 これらのビルドシステムはソフトウェアサプライチェーンのセキュリティに批判的であり、XZ UtilsとSolarWindsの攻撃が最近の例である。 既存のテクニックは、ソフトウェア依存関係を検証することによってソフトウェアサプライチェーンを強化しようとするが、そのような手法はビルドシステム自体を無視する。 同様に、古典的なソフトウェアセキュリティチェッカーは、ビルドシステムコードではなく、プログラムコードを分析し、監視するだけである。 さらに、有毒なビルドシステムは、このようなチェックを無効にすることで、プログラムコードの脆弱性を検出するツールを簡単に回避できる。 本稿では,ビルド自動化の情報と動作許可をプログラムコードのようにモデル化することで,ビルドシステムの毒殺対策の新しい戦略である開発フェーズアイソレーションを提案する。 我々はこの手法を、XZ Utils攻撃に関わる有毒なテストファイルの検出と警告に成功させたForemanというツールとしてプロトタイプ化した。 開発フェーズの分離を自動的にチェックすることで、パイプライン中毒から保護する将来の計画を概説する。 私たちは、ビルドシステムセキュリティチェッカーがプログラムコードチェッカーと同じくらい普及する未来を想像します。

関連論文リスト

• Characterizing Build Compromises Through Vulnerability Disclosure Analysis [9.08445613708978]
  本稿では,ビルドプロセスを対象とした攻撃ベクトルの実証的分類法を提案する。 ソースコードの操作からコンパイラの妥協に至るまで、ビルドパイプライン全体のインジェクションポイントによってアタックベクターを分類します。 我々の分析によると、サプライチェーン攻撃の23.8%がビルドの脆弱性を悪用しており、依存関係の混乱とビルドスクリプトインジェクションが最も一般的なベクタを表す。
  論文  参考訳（メタデータ） (2025-11-03T09:44:53Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• GitHub's Copilot Code Review: Can AI Spot Security Flaws Before You Commit? [0.0]
  この研究は、セキュリティ脆弱性の検出においてGitHub Copilotが最近導入したコードレビュー機能の有効性を評価する。 期待に反して、私たちの結果は、Copilotのコードレビューが重大な脆弱性を検出するのに頻繁に失敗することを示している。 私たちの結果は、堅牢なソフトウェアセキュリティを保証するために、専用のセキュリティツールと手作業によるコード監査が引き続き必要であることを示している。
  論文  参考訳（メタデータ） (2025-09-17T02:56:21Z)
• Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
  デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。 本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。 私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
  論文  参考訳（メタデータ） (2025-04-24T12:06:11Z)
• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• Codev-Bench: How Do LLMs Understand Developer-Centric Code Completion? [60.84912551069379]
  Code-Development Benchmark (Codev-Bench)は、細粒度で現実世界、リポジトリレベル、開発者中心の評価フレームワークです。 Codev-Agentは、リポジトリのクローリングを自動化し、実行環境を構築し、既存のユニットテストから動的呼び出しチェーンを抽出し、データ漏洩を避けるために新しいテストサンプルを生成するエージェントベースのシステムである。
  論文  参考訳（メタデータ） (2024-10-02T09:11:10Z)
• A Novel Approach to Identify Security Controls in Source Code [4.598579706242066]
  本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。 最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
  論文  参考訳（メタデータ） (2023-07-10T21:14:39Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Predicting Vulnerability In Large Codebases With Deep Code Representation [6.357681017646283]
  ソフトウェアエンジニアは様々なモジュールのコードを書きます。 過去に(異なるモジュールで)修正された同様の問題やバグも、本番コードで再び導入される傾向にある。 ソースコードから生成した抽象構文木(AST)の深部表現とアクティブフィードバックループを用いた,AIに基づく新しいシステムを開発した。
  論文  参考訳（メタデータ） (2020-04-24T13:18:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。