論文の概要: zkSBOM: Privacy-Preserving SBOM Sharing with Zero-Knowledge Sets
- arxiv url: http://arxiv.org/abs/2605.00076v1
- Date: Thu, 30 Apr 2026 13:54:38 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-04 17:43:28.676742
- Title: zkSBOM: Privacy-Preserving SBOM Sharing with Zero-Knowledge Sets
- Title(参考訳): zkSBOM: ゼロ知識セットで共有するプライバシー保護SBOM
- Authors: Tom Sorger, Eric Cornelissen, Aman Sharma, Javier Ron, Musard Balliu, Martin Monperrus,
- Abstract要約: zkSBOMはゼロ知識セットを使用して、SBOM内のコンポーネントに暗号的にコミットする。
我々は,zkSBOMのセキュリティ解析を行い,包含と排他的証明から期待される漏洩を定量化する。
評価の結果,zkSBOMはSBOM共有のための強力な,セキュアで,プライバシ保護機構であることがわかった。
- 参考スコア(独自算出の注目度): 10.318747376751128
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Software Bills of Materials (SBOMs) are increasingly mandated by regulators, yet existing sharing mechanisms impose a binary choice between full disclosure and full opacity. This exposes software suppliers to attacks that can be deduced from the SBOM only, such as the presence of a vulnerable dependency. Conversely, software consumers can be fooled by software suppliers who modify or misrepresent published SBOMs. We present zkSBOM, a privacy-preserving SBOM sharing mechanism designed to address these threats. zkSBOM uses zero-knowledge sets to cryptographically commit to the components within an SBOM. Software consumers can query for known vulnerabilities and receive a cryptographic proof confirming whether the artifact described by the SBOM is affected, without revealing any additional SBOM content. We conduct a security analysis of zkSBOM by quantifying expected leakage from inclusion and exclusion proofs. We demonstrate real-world feasibility by applying it to realistic scenarios and evaluating its operation requirements. Our evaluation demonstrates that zkSBOM is a strong, secure, and privacy-preserving mechanism for SBOM sharing, protecting software suppliers and software consumers from one another.
- Abstract(参考訳): SBOM(Software Bills of Materials)は、規制当局によってますます強制されているが、既存の共有メカニズムは、完全な開示と完全な不透明さの2つの選択肢を課している。
これにより、ソフトウェアサプライヤーは、脆弱性のある依存関係の存在など、SBOMからのみ引き出すことができる攻撃に晒される。
逆に、ソフトウェア消費者は、公開されたSBOMを変更または誤って表現するソフトウェアサプライヤーに騙されることがある。
我々は、これらの脅威に対処するために設計されたプライバシー保護型SBOM共有機構であるzkSBOMを提案する。
zkSBOMはゼロ知識セットを使用して、SBOM内のコンポーネントに暗号的にコミットする。
ソフトウェアコンシューマは、既知の脆弱性を問い合わせ、SBOMによって記述されたアーティファクトが影響を受けるかどうかを確認する暗号証明を受け取ることができ、追加のSBOMコンテンツは公開されない。
我々は,zkSBOMのセキュリティ解析を行い,包含と排他的証明から期待される漏洩を定量化する。
現実的なシナリオに適用し,その運用要件を評価することで実世界の実現可能性を示す。
我々の評価によると、zkSBOMはSBOM共有のための強力でセキュアでプライバシー保護のメカニズムであり、ソフトウェアサプライヤーとソフトウェアコンシューマを互いに保護している。
関連論文リスト
- VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs [1.0896567381206717]
ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェアアーティファクトのコンポーネント、依存関係、および関連するメタデータの構造化された在庫である。
ゼロ知識証明を用いたSBOMの暗号検証性を提供するフレームワークであるVeriSBOMを提案する。
論文 参考訳(メタデータ) (2026-02-14T09:07:14Z) - Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。
LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。
モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
論文 参考訳(メタデータ) (2026-01-12T21:31:38Z) - A Large Scale Empirical Analysis on the Adherence Gap between Standards and Tools in SBOM [54.38424417079265]
ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェア情報を整理する機械読み取り可能なアーティファクトである。
標準に従って、組織はSBOMの生成と利用のためのツールを開発した。
本稿では,我々の自動評価フレームワークであるSAPを用いて,接着ギャップの大規模2段階解析を行った。
論文 参考訳(メタデータ) (2026-01-09T08:26:05Z) - The Sum Leaks More Than Its Parts: Compositional Privacy Risks and Mitigations in Multi-Agent Collaboration [72.33801123508145]
大規模言語モデル(LLM)はマルチエージェントシステムに不可欠なものである。
プライバシーリスクは、暗記、直接推論、シングルターン評価を超えて現れる。
特に、相互作用によって構成される一見無害な反応は、敵が機密情報の回復を累積的に行うことができる。
論文 参考訳(メタデータ) (2025-09-16T16:57:25Z) - Trustworthy and Confidential SBOM Exchange [9.785054308335138]
Petra は SBOM の交換システムで、ソフトウェアベンダーが選択的暗号化を用いて相互に構成し、再実行した SBOM データを配布することを可能にする。
Petraは、ソフトウェア消費者が特定のセキュリティ問題に対する回答を、アクセスを許可されていない情報を明らかにすることなく、修正されたSBOMを検索できるようにする。
論文 参考訳(メタデータ) (2025-09-16T16:21:27Z) - Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
我々は、SBOMのアウトプットに組み込むことができる信頼について、より深く、体系的に調査する。
論文 参考訳(メタデータ) (2024-12-06T15:52:12Z) - VMGuard: Reputation-Based Incentive Mechanism for Poisoning Attack Detection in Vehicular Metaverse [52.57251742991769]
車両メタバースガード(VMGuard)は、車両メタバースシステムをデータ中毒攻撃から保護する。
VMGuardは、参加するSIoTデバイスの信頼性を評価するために、評判に基づくインセンティブメカニズムを実装している。
当社のシステムは,従来は誤分類されていた信頼性の高いSIoTデバイスが,今後の市場ラウンドへの参加を禁止していないことを保証します。
論文 参考訳(メタデータ) (2024-12-05T17:08:20Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。