論文の概要: VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs

• arxiv url: http://arxiv.org/abs/2602.13682v1
• Date: Sat, 14 Feb 2026 09:07:14 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-17 14:17:28.335726
• Title: VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs
• Title（参考訳）: VeriSBOM:ゼロ知識証明によるセキュアで検証可能なSBOM共有
• Authors: Gianpietro Castiglione, Shahriar Ebrahimi, Narges Khakpour,
• Abstract要約: ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェアアーティファクトのコンポーネント、依存関係、および関連するメタデータの構造化された在庫である。 ゼロ知識証明を用いたSBOMの暗号検証性を提供するフレームワークであるVeriSBOMを提案する。
• 参考スコア（独自算出の注目度）: 1.0896567381206717
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: A Software Bill of Materials (SBOM) is a key component for the transparency of software supply chain; it is a structured inventory of the components, dependencies, and associated metadata of a software artifact. However, an SBOM often contain sensitive information that organizations are unwilling to disclose in full to anyone, for two main concerns: technological risks deriving from exposing proprietary dependencies or unpatched vulnerabilities, and business risks, deriving from exposing architectural strategies. Therefore, delivering a plaintext SBOM may result in the disruption of the intellectual property of a company. To address this, we present VeriSBOM, a trustless, selectively disclosed SBOM framework that provides cryptographic verifiability of SBOMs using zero-knowledge proofs. Within VeriSBOM, third parties can validate specific statements about a delivered software. Respectively, VeriSBOM allows independent third parties to verify if a software contains authentic dependencies distributed by official package managers and that the same dependencies satisfy rigorous policy constraints such as the absence of vulnerable dependencies or the adherence with specific licenses models. VeriSBOM leverages a scalable vector commitment scheme together with folding-based proof aggregation to produce succinct zero-knowledge proofs that attest to security and compliance properties while preserving confidentiality. Crucially, the verification process requires no trust in the SBOM publisher beyond the soundness of the underlying primitives, and third parties can independently check proofs against the public cryptographic commitments. We implement VeriSBOM, analyze its security, and evaluate its performance on real-world package registries. The results show that our method enables scalable, privacy-preserving, and verifiable SBOM sharing and validation.
• Abstract（参考訳）: SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンの透明性のための重要なコンポーネントであり、ソフトウェアアーティファクトのコンポーネント、依存関係、および関連するメタデータの構造化された在庫である。 しかしながら、SBOMには、プロプライエタリな依存関係の公開や未パッチの脆弱性の公開による技術的リスクと、アーキテクチャ戦略の公開によるビジネスリスクという、2つの主要な懸念から、組織が完全な開示を望まないセンシティブな情報が含まれていることが多い。 したがって、平文SBOMを提供すると、企業の知的財産が破壊される可能性がある。 これを解決するために、ゼロ知識証明を用いてSBOMの暗号検証機能を提供する、信頼性のない選択的に開示されたSBOMフレームワークであるVeriSBOMを提案する。 VeriSBOM内では、サードパーティが配信されたソフトウェアに関する特定のステートメントを検証することができる。 VeriSBOMは、独立したサードパーティに対して、ソフトウェアが公式パッケージマネージャによって配布される真の依存関係を含むかどうかを検証し、同じ依存関係が、脆弱な依存関係の欠如や特定のライセンスモデルへの準拠といった厳密なポリシー制約を満たすことを許可する。 VeriSBOMは、折り畳みベースの証明アグリゲーションとともにスケーラブルなベクトルコミットメントスキームを活用し、機密性を維持しながらセキュリティとコンプライアンス性を証明する簡潔なゼロ知識証明を生成する。 重要な点として、検証プロセスは、基礎となるプリミティブの健全性以外のSBOMパブリッシャへの信頼を必要としない。 We implement VeriSBOM, analysis its security, and the performance on real-world package registries。 提案手法は,拡張性,プライバシ保護,検証可能なSBOMの共有と検証を可能にする。

関連論文リスト

• Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
  大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。 LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。 モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
  論文  参考訳（メタデータ） (2026-01-12T21:31:38Z)
• A Large Scale Empirical Analysis on the Adherence Gap between Standards and Tools in SBOM [54.38424417079265]
  ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェア情報を整理する機械読み取り可能なアーティファクトである。 標準に従って、組織はSBOMの生成と利用のためのツールを開発した。 本稿では,我々の自動評価フレームワークであるSAPを用いて,接着ギャップの大規模2段階解析を行った。
  論文  参考訳（メタデータ） (2026-01-09T08:26:05Z)
• Zero-Knowledge Audit for Internet of Agents: Privacy-Preserving Communication Verification with Model Context Protocol [2.503043323723241]
  我々は,メッセージが期待されるルールに従っていることを確認しながら,メッセージをプライベートに保持する,エージェント通信の監査フレームワークを導入する。 ゼロ知識証明を既存のモデルコンテキストプロトコル(MCP)と組み合わせることで、その内容を明らかにすることなくメッセージを検証することができる。 我々は、zk-MCPがデータの信頼性と通信のプライバシーを提供し、無視可能な遅延オーバーヘッドによる効率的な検証を実現していることを示す。
  論文  参考訳（メタデータ） (2025-12-11T19:18:07Z)
• Trustworthy and Confidential SBOM Exchange [9.785054308335138]
  Petra は SBOM の交換システムで、ソフトウェアベンダーが選択的暗号化を用いて相互に構成し、再実行した SBOM データを配布することを可能にする。 Petraは、ソフトウェア消費者が特定のセキュリティ問題に対する回答を、アクセスを許可されていない情報を明らかにすることなく、修正されたSBOMを検索できるようにする。
  論文  参考訳（メタデータ） (2025-09-16T16:21:27Z)
• Balancing Confidentiality and Transparency for Blockchain-based Process-Aware Information Systems [43.253676241213626]
  機密性と透明性を維持するために,ブロックチェーンベースのPAISアーキテクチャを提案する。 スマートコントラクトは公開インタラクションを制定、強制、保存し、属性ベースの暗号化技術は機密情報へのアクセス許可を指定するために採用されている。 システム的脅威モデル解析によりソリューションの安全性を評価し,その実用性を評価する。
  論文  参考訳（メタデータ） (2024-12-07T20:18:36Z)
• Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
  SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。 ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。 我々は、SBOMのアウトプットに組み込むことができる信頼について、より深く、体系的に調査する。
  論文  参考訳（メタデータ） (2024-12-06T15:52:12Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。