論文の概要: Hidden Dependencies and Component Variants in SBOM-Based Software Composition Analysis
- arxiv url: http://arxiv.org/abs/2604.21278v1
- Date: Thu, 23 Apr 2026 04:46:41 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-24 14:40:06.307178
- Title: Hidden Dependencies and Component Variants in SBOM-Based Software Composition Analysis
- Title(参考訳): SBOMに基づくソフトウェア構成分析における隠れ依存性と成分変数
- Authors: Shawn Rasheed, Max McPhee, Lisa Patterson, Stephen MacDonell, Jens Dietrich,
- Abstract要約: SBOM(Software Bills of Materials)は、サプライチェーンの攻撃が激化する中で、脆弱性管理の重要な技術として登場した。
本稿では,コンポーネントレベルの依存関係として表現されない隠されたコードレベルの依存関係と,スキャナによって一貫した識別ができないコンポーネントの変種(クローン)の2つのミスマッチパターンについて検討する。
これらのミスマッチは、一般的なSBOMベースの脆弱性スキャナー間での、一貫性のない脆弱性レポートとステートメントの一貫性のないハンドリングにつながる可能性がある。
- 参考スコア(独自算出の注目度): 0.7057291175356535
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Software Bills of Material (SBOMs) have emerged as an important technology for vulnerability management amid rising supply-chain attacks. They represent component relationships within a software product and support software composition analysis (SCA) by linking components to known vulnerabilities. However, the effectiveness of SBOM-based analysis depends on how accurately SBOMs represent component identities and actual dependencies in software. This paper studies two mismatch patterns: hidden code-level dependencies that are not represented as component-level dependencies, and component variants (clones) that cannot be identified consistently by scanners. We show that these mismatches can lead to inconsistent vulnerability reporting and inconsistent handling of VEX statements across popular SBOM-based vulnerability scanners. These results highlight limitations in current SBOM production and consumption and motivate richer dependency representation and component identity.
- Abstract(参考訳): SBOM(Software Bills of Materials)は、サプライチェーンの攻撃が激化する中で、脆弱性管理の重要な技術として登場した。
ソフトウェア製品内のコンポーネントの関係を表現し、コンポーネントを既知の脆弱性にリンクすることで、ソフトウェア構成分析(SCA)をサポートする。
しかし、SBOMに基づく分析の有効性は、SBOMがコンポーネントのアイデンティティと実際のソフトウェア依存性をどれだけ正確に表現するかに依存する。
本稿では,コンポーネントレベルの依存関係として表現されない隠されたコードレベルの依存関係と,スキャナによって一貫した識別ができないコンポーネントの変種(クローン)の2つのミスマッチパターンについて検討する。
これらのミスマッチは、一般的なSBOMベースの脆弱性スキャナー間での、一貫性のない脆弱性報告とVEXステートメントの不整合処理につながる可能性があることを示す。
これらの結果は、現在のSBOMの生産と消費の制限を強調し、よりリッチな依存性表現とコンポーネントのアイデンティティを動機付けます。
関連論文リスト
- Dynamic analysis enhances issue resolution [53.50448142467294]
DAIRA(Dynamic Analysis-enhanced Issue Resolution Agent)は、エージェントの推論サイクルに動的解析を組み込む自動修復フレームワークである。
テストトレース駆動の方法論によって駆動されるDAIRAは、軽量モニタを使用して重要なランタイムデータを抽出する。
Gemini 3 Flash Previewを使用すると、DAIRAは新たな最先端(SOTA)パフォーマンスを確立し、SWE-bench Verifiedデータセットで79.4%の解像度を達成する。
論文 参考訳(メタデータ) (2026-03-23T14:48:54Z) - Cascaded Vulnerability Attacks in Software Supply Chains [1.628589561701473]
本稿では,SBOMによるセキュリティ分析手法とツールに対する新しいアプローチを提案する。
我々は,スキャナ出力を独立したレコードとして扱うのではなく,依存関係構造上の脆弱性関係をモデル化する。
次に、不均一グラフ注意ネットワーク(HGAT)をトレーニングして、あるコンポーネントが少なくとも1つの既知の脆弱性と関連付けられているかどうかを予測する。
論文 参考訳(メタデータ) (2026-01-28T01:31:09Z) - A Large Scale Empirical Analysis on the Adherence Gap between Standards and Tools in SBOM [54.38424417079265]
ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェア情報を整理する機械読み取り可能なアーティファクトである。
標準に従って、組織はSBOMの生成と利用のためのツールを開発した。
本稿では,我々の自動評価フレームワークであるSAPを用いて,接着ギャップの大規模2段階解析を行った。
論文 参考訳(メタデータ) (2026-01-09T08:26:05Z) - UniBOM -- A Unified SBOM Analysis and Visualisation Tool for IoT Systems and Beyond [0.23332469289621785]
本稿では,UniBOMについて紹介する。UniBOMは,材料生成・分析・可視化のための高度なツールである。
UniBOMはバイナリ、脆弱性、ソースコード解析を統合し、きめ細かい脆弱性検出とリスク管理を可能にする。
主な機能としては、履歴追跡、重大度によるAIベースの分類、メモリ安全性、非パッケージ管理のC/C++依存関係のサポートなどがある。
論文 参考訳(メタデータ) (2025-11-27T11:50:58Z) - VDGraph: A Graph-Theoretic Approach to Unlock Insights from SBOM and SCA Data [1.1417805445492082]
本稿では,脆弱性と依存性データを総合的な視点に統合するための知識グラフベースの方法論であるVDGraphを紹介する。
VDGraphは、Software Bill of Materials(SBOM)とSoftware Composition Analysis(SCA)の出力を、ソフトウェアプロジェクトの依存関係と脆弱性のグラフ表現に統合します。
我々は、脆弱性が主に3つの依存性レベル以上の深さで出現していることを示し、直接的なまたは二次的な依存関係がより低い脆弱性密度を示し、より安全である傾向があることを示す。
論文 参考訳(メタデータ) (2025-07-28T03:43:29Z) - Bomfather: An eBPF-based Kernel-level Monitoring Framework for Accurate Identification of Unknown, Unused, and Dynamically Loaded Dependencies in Modern Software Supply Chains [0.0]
依存性追跡手法の不正確さは、現代のソフトウェアサプライチェーンのセキュリティと整合性を損なう。
本稿では,拡張バークレーパケットフィルタ(eBPF)を利用したカーネルレベルのフレームワークを提案する。
論文 参考訳(メタデータ) (2025-03-03T22:32:59Z) - MVICAD2: Multi-View Independent Component Analysis with Delays and Dilations [61.59658203704757]
本稿では,時間的遅延と拡張の両面において,被験者間でソースを異にするMVICAD(Multi-View Independent Component Analysis with Delays and Dilations)を提案する。
本稿では, 正則化と最適化手法を用いて, 性能向上を図るため, 正則化と最適化手法を用いて, その可能性の近似を導出する。
論文 参考訳(メタデータ) (2025-01-13T15:47:02Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。