論文の概要: Software Dark Matter: Gazing at Uncharted Files to Navigate SBOM Integrations
- arxiv url: http://arxiv.org/abs/2606.13966v1
- Date: Thu, 11 Jun 2026 23:11:48 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-15 16:00:42.677374
- Title: Software Dark Matter: Gazing at Uncharted Files to Navigate SBOM Integrations
- Title(参考訳): ソフトウェアダークマター:SBOM統合をナビゲートするアンチャードファイル
- Authors: Abhishek Reddypalle, Dennis Roellke, Santiago Torres-Arias,
- Abstract要約: ソフトウェアダークマター(SDM)は機密情報や暗号鍵などの機密情報と高い相関関係にあることを示す。
SDMは、関連するメタデータによって記録されていないアーティファクトに存在するセキュリティクリティカルなファイルの集合を表す。
Packaging Lagは、アーティファクトの実際のコンテンツに追いつく前に、複数のバージョンにまたがって公式メタデータが時代遅れである現象です。
- 参考スコア(独自算出の注目度): 6.659013399626327
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Modern software supply chains have evolved into vast, heterogeneous networks where transparency - the granular understanding of all software components - is now a critical security requirement. While Software Bills of Materials (SBOMs) have emerged as the primary mechanism for this transparency, current industry practices rely on a metadata-centric paradigm that assumes an artifact is defined solely by its package manager declarations. We posit that this assumption is fundamentally flawed, creating a systemic visibility gap we define as Software Dark Matter (SDM). SDM represents the set of security-critical files present in an artifact's filesystem that are unaccounted for by its associated metadata. We implement a reference tool, DARKFILES, and use it to analyze four ecosystems of disjoint nature: DockerHub, Maven Central, plugin/extension marketplaces (Jenkins plugins and OpenVSX), and a real-world enterprise environment. Our research makes the following contributions: we introduce a general-purpose metric for artifact fidelity calculating SDM as the ratio of untracked files per total file count. We introduce Packaging Lag, a phenomenon where official metadata remains out-of-date across multiple versions before catching up to an artifact's actual content. We demonstrate that SDM exposes vulnerable software invisible to SBOM-driven pipelines both by cross-referencing untracked packages against known CVE databases and through the direct discovery of three confirmed high-severity CVEs, showing that SDM is highly correlated with sensitive information including secrets and cryptographic keys.
- Abstract(参考訳): 現代のソフトウェアサプライチェーンは、透明性 — すべてのソフトウェアコンポーネントの詳細な理解 — が重要なセキュリティ要件となっている、巨大で異質なネットワークへと進化しています。
ソフトウェア・ビルズ・オブ・マテリアル(SBOM)は、この透明性の主要なメカニズムとして現れていますが、現在の業界プラクティスは、アーティファクトがパッケージマネージャ宣言によってのみ定義されると仮定するメタデータ中心のパラダイムに依存しています。
我々は、この仮定が根本的な欠陥であり、ソフトウェアダークマター(SDM)として定義するシステム的な可視性ギャップを生み出すと仮定する。
SDMは、アーティファクトのファイルシステムに存在するセキュリティクリティカルなファイルの集合を表し、関連するメタデータによって記録されていない。
私たちは、DARKFILESというリファレンスツールを実装し、DockerHub、Maven Central、プラグイン/拡張マーケットプレース(JenkinsプラグインとOpenVSX)、実際のエンタープライズ環境の4つのエコシステムを分析します。
本研究は, ファイル数当たりの未追跡ファイルの比率として, SDMのアーティファクト忠実度計算のための汎用指標を提案する。
Packaging Lagは、アーティファクトの実際のコンテンツに追いつく前に、複数のバージョンにまたがって公式メタデータが時代遅れである現象です。
我々は、SDMが既知のCVEデータベースに対して、追跡されていないパッケージを相互参照することで、SBOM駆動パイプラインに見えない脆弱性のあるソフトウェアを公開し、3つの確認された高重度CVEを直接発見することにより、秘密や暗号鍵を含む機密情報と高い相関性を示す。
関連論文リスト
- Why Does the LLM Stop Computing: An Empirical Study of User-Reported Failures in Open-Source LLMs [50.075587392477935]
オープンソースのDeepSeek、Llama、Qwenのエコシステムから、705の現実世界の失敗に関する大規模な実証的研究を行った。
ホワイトボックスオーケストレーションは、モデルアルゴリズムの欠陥からデプロイメントスタックのシステム的脆弱性へと、信頼性のボトルネックを移動させます。
論文 参考訳(メタデータ) (2026-01-20T06:42:56Z) - A Large Scale Empirical Analysis on the Adherence Gap between Standards and Tools in SBOM [54.38424417079265]
ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェア情報を整理する機械読み取り可能なアーティファクトである。
標準に従って、組織はSBOMの生成と利用のためのツールを開発した。
本稿では,我々の自動評価フレームワークであるSAPを用いて,接着ギャップの大規模2段階解析を行った。
論文 参考訳(メタデータ) (2026-01-09T08:26:05Z) - Policy-driven Software Bill of Materials on GitHub: An Empirical Study [14.398115591070727]
ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials、SBOM)は、ソフトウェアに含まれるすべてのソフトウェア依存関係の機械可読リストである。
政府がSBOMを使用する義務があるにもかかわらず、このアーティファクトの研究はまだ初期段階にある。
論文 参考訳(メタデータ) (2025-09-01T08:45:39Z) - Compressed Feature Quality Assessment: Dataset and Baselines [89.62929964441962]
圧縮された特徴のセマンティック忠実度を評価するための最初のベンチマークデータセットを提案する。
MSE、コサイン類似性、CKA(Centered Kernel Alignment)という3つの広く使われているメトリクスを、意味的劣化を捉える能力の観点から体系的に評価する。
この研究は、基礎的なベンチマークを確立し、コミュニティがCFQAを探索するための重要なリソースを提供することによって、この分野を前進させます。
論文 参考訳(メタデータ) (2025-06-09T04:16:39Z) - Bomfather: An eBPF-based Kernel-level Monitoring Framework for Accurate Identification of Unknown, Unused, and Dynamically Loaded Dependencies in Modern Software Supply Chains [0.0]
依存性追跡手法の不正確さは、現代のソフトウェアサプライチェーンのセキュリティと整合性を損なう。
本稿では,拡張バークレーパケットフィルタ(eBPF)を利用したカーネルレベルのフレームワークを提案する。
論文 参考訳(メタデータ) (2025-03-03T22:32:59Z) - OSPtrack: A Labeled Dataset Targeting Simulated Execution of Open-Source Software [0.0]
このデータセットには9,461のパッケージレポートが含まれており、そのうち1,962が悪意のあるものである。
データセットには、ファイル、ソケット、コマンド、DNSレコードなどの静的および動的機能が含まれている。
このデータセットは実行時検出をサポートし、検出モデルトレーニングを強化し、エコシステム間の効率的な比較分析を可能にする。
論文 参考訳(メタデータ) (2024-11-22T10:07:42Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - SBOM Generation Tools in the Python Ecosystem: an In-Detail Analysis [2.828503885204035]
我々はCycloneDX標準を用いて4つの人気のあるSBOM生成ツールを分析する。
依存関係のバージョン、メタデータファイル、リモート依存関係、オプションの依存関係に関する問題を強調します。
PyPIエコシステムにおけるメタデータの標準の欠如による体系的な問題を特定する。
論文 参考訳(メタデータ) (2024-09-02T12:48:10Z) - A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems [13.610690659041417]
悪意のあるパッケージはメタデータの内容が少なく、正規のパッケージよりも静的関数や動的関数が少ない。
きめ細かい情報(FGI)の1次元は、悪意のあるパッケージを検出するのに十分な識別能力を持っている。
論文 参考訳(メタデータ) (2024-04-17T15:16:01Z) - The Problem of Zombie Datasets:A Framework For Deprecating Datasets [55.878249096379804]
我々は、ImageNet、8000 Million Tiny Images、MS-Celeb-1M、Duke MTMC、Brainwash、HRT Transgenderなど、いくつかの著名なデータセットの公開後処理について検討する。
本稿では,リスクの考慮,影響の緩和,アピール機構,タイムライン,非推奨プロトコル,公開チェックなどを含むデータセットの非推奨化フレームワークを提案する。
論文 参考訳(メタデータ) (2021-10-18T20:13:51Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。