会员服务
软件 · 系统 · 知识 · 元数据 · 透明度 ·
3 月 12 日
Trustworthy and Confidential SBOM Exchange
翻译:可信且保密的SBOM交换系统
Eman Abu Ishgair,Chinenye Okafor,Marcela S. Melara,Santiago Torres-Arias
Eman Abu Ishgair,Chinenye Okafor,Marcela S. Melara,Santiago Torres-Arias
from arxiv, To appear at USENIX Security '26

Software Bills of Materials (SBOMs) have become a regulatory requirement for improving software supply chain security and trust by means of transparency regarding components that make up software artifacts. However, enterprise and regulated software vendors commonly wish to restrict who can view confidential software metadata recorded in their SBOMs due to intellectual property or security vulnerability information. To address this tension between transparency and confidentiality, we propose Petra, an SBOM exchange system that empowers software vendors to interoperably compose and distribute redacted SBOM data using selective encryption. Petra enables software consumers to search redacted SBOMs for answers to specific security questions without revealing information they are not authorized to access. Petra leverages a format-agnostic, tamper-evident SBOM representation to generate efficient and confidentiality-preserving integrity proofs, allowing interested parties to cryptographically audit and establish trust in redacted SBOMs. Exchanging redacted SBOMs in our Petra prototype requires less than 1 extra KB per SBOM, and SBOM decryption accounts for at most 1% of the performance overhead during an SBOM query


翻译:软件物料清单(SBOM)已成为通过软件构件组成透明化提升软件供应链安全性与可信度的监管要求。然而,企业及受监管软件供应商常因知识产权或安全漏洞信息,需要限制可查看其SBOM中机密软件元数据的对象。为化解透明度与保密性之间的张力,我们提出Petra——一种SBOM交换系统,使软件供应商能够通过选择性加密技术互操作地组合与分发脱敏SBOM数据。Petra支持软件消费者在脱敏SBOM中检索特定安全问题的答案,同时不泄露其未获授权访问的信息。该系统采用格式无关、防篡改的SBOM表示方法,生成高效且保密的完整性证明,使相关方能够通过密码学审计建立对脱敏SBOM的信任。在我们的Petra原型中,交换脱敏SBOM仅需为每个SBOM增加不足1KB的额外开销,且SBOM解密在查询过程中产生的性能损耗不超过1%。
0
下载
关闭预览

相关内容

软件(中国大陆及香港用语,台湾作软体,英文:Software)是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。
大模型如何可信?113页《TRUSTLLM:大型语言模型中的可信度》论文,60多位作者40机构联合撰写
大模型如何可信?113页《TRUSTLLM:大型语言模型中的可信度》论文,60多位作者40机构联合撰写
专知会员服务
66+阅读 · 2024年1月13日
《综述:美国国防部DevSecOps 最佳实践采用情况》赛博安全与美国国防部系统开发,71页技术报告
《综述:美国国防部DevSecOps 最佳实践采用情况》赛博安全与美国国防部系统开发,71页技术报告
专知会员服务
50+阅读 · 2023年9月15日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
专知会员服务
26+阅读 · 2023年1月29日
《可信密态计算白皮书》正式发布!48页pdf
《可信密态计算白皮书》正式发布!48页pdf
专知会员服务
35+阅读 · 2022年9月29日
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
专知会员服务
33+阅读 · 2022年8月8日
重磅!工信部《数据传输安全白皮书》发布,90页pdf
重磅!工信部《数据传输安全白皮书》发布,90页pdf
专知会员服务
87+阅读 · 2022年8月6日
重磅发布|《信息系统稳定性保障能力建设指南(1.0)》,附下载方式
重磅发布|《信息系统稳定性保障能力建设指南(1.0)》,附下载方式
专知会员服务
45+阅读 · 2022年4月11日
信息物理融合系统 (CPS)研究综述
信息物理融合系统 (CPS)研究综述
专知会员服务
47+阅读 · 2022年3月14日
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
专知会员服务
67+阅读 · 2021年12月27日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
41+阅读 · 2022年7月27日
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
专知
67+阅读 · 2022年4月9日
泰国通过个人信息保护法
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
CVPR 2019:中科院、牛津等提出SiamMask网络,视频跟踪最高精度
CVPR 2019:中科院、牛津等提出SiamMask网络,视频跟踪最高精度
新智元
11+阅读 · 2019年3月8日
【大数据】StreamSets:一个大数据采集工具
【大数据】StreamSets:一个大数据采集工具
产业智能官
40+阅读 · 2018年12月5日
【知识图谱】知识图谱+人工智能=新型网络信息体系
【知识图谱】知识图谱+人工智能=新型网络信息体系
产业智能官
14+阅读 · 2018年11月18日
【CPS】社会物理信息系统(CPSS)及其典型应用
【CPS】社会物理信息系统(CPSS)及其典型应用
产业智能官
16+阅读 · 2018年9月18日
disentangled-representation-papers
disentangled-representation-papers
CreateAMind
26+阅读 · 2018年9月12日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
综述——隐私保护集合交集计算技术研究
综述——隐私保护集合交集计算技术研究
计算机研究与发展
22+阅读 · 2017年10月24日
可证明安全的确定性公钥加密体制研究
国家自然科学基金
0+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据流发布中的隐私保护理论和方法研究
国家自然科学基金
7+阅读 · 2015年12月31日
基于相位-幅度转换和数字混沌密钥的光混沌保密通信理论与实现技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
流密码可约性高效判别算法存在性的研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于虚拟原型的信息物理融合系统高效可信构造研究
国家自然科学基金
8+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
可证安全的新型签密体制研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
CONFETTY: A Tool for Enforcement and Data Confidentiality on Blockchain-Based Processes
Arxiv
0+阅读 · 3月14日
Confidential, Attestable, and Efficient Inter-CVM Communication with Arm CCA
Arxiv
0+阅读 · 3月7日
Sharing is caring: Attestable and Trusted Workflows out of Distrustful Components
Arxiv
0+阅读 · 3月7日
Proteus: A Practical Framework for Privacy-Preserving Device Logs
Arxiv
0+阅读 · 3月6日
Sharing is caring: Attestable and Trusted Workflows out of Distrustful Components
Arxiv
0+阅读 · 3月3日
VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs
Arxiv
0+阅读 · 2月14日
Reliable Hierarchical Operating System Fingerprinting via Conformal Prediction
Arxiv
0+阅读 · 2月13日
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
Arxiv
0+阅读 · 2月4日
Trust The Typical
Arxiv
0+阅读 · 2月4日
Things that Matter -- Identifying Interactions and IoT Device Types in Encrypted Matter Traffic
Arxiv
0+阅读 · 2月2日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
软件
系统
知识
元数据
透明度
最新内容
【牛津博士论文】以语言为接口的医学影像表示学习
【牛津博士论文】以语言为接口的医学影像表示学习
专知会员服务
0+阅读 · 今天16:11
基于大语言模型的医疗推理研究:综述与 MR-Bench 基准测试
基于大语言模型的医疗推理研究:综述与 MR-Bench 基准测试
专知会员服务
0+阅读 · 今天16:09
从原型到实战:扩展美陆军下一代指挥控制能力(试验进展)
从原型到实战:扩展美陆军下一代指挥控制能力(试验进展)
专知会员服务
3+阅读 · 今天15:10
技术、多域威慑与海上战争(报告)
技术、多域威慑与海上战争(报告)
专知会员服务
3+阅读 · 今天15:04
随机网络效用最大化在战略排队系统中的博弈论方法
随机网络效用最大化在战略排队系统中的博弈论方法
专知会员服务
2+阅读 · 今天14:56
“在云端防御”:提升北约数据韧性(报告)
“在云端防御”:提升北约数据韧性(报告)
专知会员服务
2+阅读 · 今天14:54
从炒作到现实:人工智能在军事应用中的实战经验与建议(综述)
从炒作到现实:人工智能在军事应用中的实战经验与建议(综述)
专知会员服务
2+阅读 · 今天14:49
2026年伊朗战争对美国通胀的影响:情景分析(报告)
2026年伊朗战争对美国通胀的影响:情景分析(报告)
专知会员服务
1+阅读 · 今天14:47
人工智能及其在海军行动中的整合(综述)
人工智能及其在海军行动中的整合(综述)
专知会员服务
2+阅读 · 今天14:07
美以伊冲突:无人机主导的第三次海湾战争反防空作战
美以伊冲突:无人机主导的第三次海湾战争反防空作战
专知会员服务
1+阅读 · 今天13:56
多模态XR-AI训练系统提升联合作战中的沟通技能(中文万字长文)
多模态XR-AI训练系统提升联合作战中的沟通技能(中文万字长文)
专知会员服务
3+阅读 · 今天13:40
美军MAVEN项目全面解析:算法战架构
美军MAVEN项目全面解析:算法战架构
专知会员服务
16+阅读 · 今天8:36
从俄乌战场看“马赛克战”(万字长文)
从俄乌战场看“马赛克战”(万字长文)
专知会员服务
10+阅读 · 今天8:19
人工智能与机器人自主系统等新兴技术革命将如何影响地面作战的指挥控制?
人工智能与机器人自主系统等新兴技术革命将如何影响地面作战的指挥控制?
专知会员服务
10+阅读 · 4月12日
弹性指挥控制:北约、伊朗与俄罗斯指挥控制架构的比较分析
弹性指挥控制:北约、伊朗与俄罗斯指挥控制架构的比较分析
专知会员服务
9+阅读 · 4月12日
相关VIP内容
大模型如何可信?113页《TRUSTLLM:大型语言模型中的可信度》论文,60多位作者40机构联合撰写
大模型如何可信?113页《TRUSTLLM:大型语言模型中的可信度》论文,60多位作者40机构联合撰写
专知会员服务
66+阅读 · 2024年1月13日
《综述:美国国防部DevSecOps 最佳实践采用情况》赛博安全与美国国防部系统开发,71页技术报告
《综述:美国国防部DevSecOps 最佳实践采用情况》赛博安全与美国国防部系统开发,71页技术报告
专知会员服务
50+阅读 · 2023年9月15日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
专知会员服务
26+阅读 · 2023年1月29日
《可信密态计算白皮书》正式发布!48页pdf
《可信密态计算白皮书》正式发布!48页pdf
专知会员服务
35+阅读 · 2022年9月29日
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
专知会员服务
33+阅读 · 2022年8月8日
重磅!工信部《数据传输安全白皮书》发布,90页pdf
重磅!工信部《数据传输安全白皮书》发布,90页pdf
专知会员服务
87+阅读 · 2022年8月6日
重磅发布|《信息系统稳定性保障能力建设指南(1.0)》,附下载方式
重磅发布|《信息系统稳定性保障能力建设指南(1.0)》,附下载方式
专知会员服务
45+阅读 · 2022年4月11日
信息物理融合系统 (CPS)研究综述
信息物理融合系统 (CPS)研究综述
专知会员服务
47+阅读 · 2022年3月14日
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
专知会员服务
67+阅读 · 2021年12月27日
热门VIP内容
相关资讯
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
41+阅读 · 2022年7月27日
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
专知
67+阅读 · 2022年4月9日
泰国通过个人信息保护法
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
CVPR 2019:中科院、牛津等提出SiamMask网络,视频跟踪最高精度
CVPR 2019:中科院、牛津等提出SiamMask网络,视频跟踪最高精度
新智元
11+阅读 · 2019年3月8日
【大数据】StreamSets:一个大数据采集工具
【大数据】StreamSets:一个大数据采集工具
产业智能官
40+阅读 · 2018年12月5日
【知识图谱】知识图谱+人工智能=新型网络信息体系
【知识图谱】知识图谱+人工智能=新型网络信息体系
产业智能官
14+阅读 · 2018年11月18日
【CPS】社会物理信息系统(CPSS)及其典型应用
【CPS】社会物理信息系统(CPSS)及其典型应用
产业智能官
16+阅读 · 2018年9月18日
disentangled-representation-papers
disentangled-representation-papers
CreateAMind
26+阅读 · 2018年9月12日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
综述——隐私保护集合交集计算技术研究
综述——隐私保护集合交集计算技术研究
计算机研究与发展
22+阅读 · 2017年10月24日
相关论文
CONFETTY: A Tool for Enforcement and Data Confidentiality on Blockchain-Based Processes
Arxiv
0+阅读 · 3月14日
Confidential, Attestable, and Efficient Inter-CVM Communication with Arm CCA
Arxiv
0+阅读 · 3月7日
Sharing is caring: Attestable and Trusted Workflows out of Distrustful Components
Arxiv
0+阅读 · 3月7日
Proteus: A Practical Framework for Privacy-Preserving Device Logs
Arxiv
0+阅读 · 3月6日
Sharing is caring: Attestable and Trusted Workflows out of Distrustful Components
Arxiv
0+阅读 · 3月3日
VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs
Arxiv
0+阅读 · 2月14日
Reliable Hierarchical Operating System Fingerprinting via Conformal Prediction
Arxiv
0+阅读 · 2月13日
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
Arxiv
0+阅读 · 2月4日
Trust The Typical
Arxiv
0+阅读 · 2月4日
Things that Matter -- Identifying Interactions and IoT Device Types in Encrypted Matter Traffic
Arxiv
0+阅读 · 2月2日
相关基金
可证明安全的确定性公钥加密体制研究
国家自然科学基金
0+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据流发布中的隐私保护理论和方法研究
国家自然科学基金
7+阅读 · 2015年12月31日
基于相位-幅度转换和数字混沌密钥的光混沌保密通信理论与实现技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
流密码可约性高效判别算法存在性的研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于虚拟原型的信息物理融合系统高效可信构造研究
国家自然科学基金
8+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
可证安全的新型签密体制研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top