会员服务
软件 · 系统 · 透明度 · 知识 · 元数据 ·
1 月 26 日
Trustworthy and Confidential SBOM Exchange
翻译:可信且保密的软件物料清单交换系统
Eman Abu Ishgair,Chinenye Okafor,Marcela S. Melara,Santiago Torres-Arias
Eman Abu Ishgair,Chinenye Okafor,Marcela S. Melara,Santiago Torres-Arias
from arxiv, To appear at USENIX Security '26

Software Bills of Materials (SBOMs) have become a regulatory requirement for improving software supply chain security and trust by means of transparency regarding components that make up software artifacts. However, enterprise and regulated software vendors commonly wish to restrict who can view confidential software metadata recorded in their SBOMs due to intellectual property or security vulnerability information. To address this tension between transparency and confidentiality, we propose Petra, an SBOM exchange system that empowers software vendors to interoperably compose and distribute redacted SBOM data using selective encryption. Petra enables software consumers to search redacted SBOMs for answers to specific security questions without revealing information they are not authorized to access. Petra leverages a format-agnostic, tamper-evident SBOM representation to generate efficient and confidentiality-preserving integrity proofs, allowing interested parties to cryptographically audit and establish trust in redacted SBOMs. Exchanging redacted SBOMs in our Petra prototype requires less than 1 extra KB per SBOM, and SBOM decryption accounts for at most 1% of the performance overhead during an SBOM query.


翻译:软件物料清单已成为通过提高软件制品组成组件的透明度来增强软件供应链安全性与可信度的监管要求。然而,企业及受监管的软件供应商通常因知识产权或安全漏洞信息考虑,希望限制可查看其SBOM中记录的机密软件元数据的对象。为解决透明度与保密性之间的这一矛盾,我们提出Petra——一种SBOM交换系统,使软件供应商能够通过选择性加密技术,以可互操作的方式组合和分发脱敏的SBOM数据。Petra允许软件消费者在脱敏的SBOM中搜索特定安全问题的答案,而无需披露其未获授权访问的信息。该系统采用格式无关、防篡改的SBOM表示方法,生成高效且保密的完整性证明,使相关方能够通过密码学方式审计脱敏的SBOM并建立信任。在我们的Petra原型中,交换脱敏的SBOM每个仅需增加不足1KB的额外开销,且SBOM解密在查询过程中产生的性能开销至多占1%。
0
下载
关闭预览

相关内容

软件(中国大陆及香港用语,台湾作软体,英文:Software)是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。
《软件保障路线图》12页slides,美国国防工业协会
《软件保障路线图》12页slides,美国国防工业协会
专知会员服务
31+阅读 · 2023年8月11日
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
专知会员服务
26+阅读 · 2023年1月29日
《可信密态计算白皮书》正式发布!48页pdf
《可信密态计算白皮书》正式发布!48页pdf
专知会员服务
35+阅读 · 2022年9月29日
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
专知会员服务
33+阅读 · 2022年8月8日
重磅!工信部《数据传输安全白皮书》发布,90页pdf
重磅!工信部《数据传输安全白皮书》发布,90页pdf
专知会员服务
87+阅读 · 2022年8月6日
【腾讯等】可信赖图学习:可靠性、可解释性和隐私保护,A Survey of Trustworthy Graph Learning: Reliability, Explainability, and Privacy Protection
【腾讯等】可信赖图学习:可靠性、可解释性和隐私保护,A Survey of Trustworthy Graph Learning: Reliability, Explainability, and Privacy Protection
专知会员服务
20+阅读 · 2022年5月24日
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
专知会员服务
66+阅读 · 2021年12月27日
【博士论文】软件系统网络化建模、质量度量与保证
专知会员服务
14+阅读 · 2020年12月17日
最新《分布式差分隐私》报告,65页ppt
专知会员服务
41+阅读 · 2020年12月1日
《物联网安全标准化白皮书(2019版)》发布,59页PDF,全国信息安全标准化技术委员会
《物联网安全标准化白皮书(2019版)》发布,59页PDF,全国信息安全标准化技术委员会
专知会员服务
13+阅读 · 2019年11月4日
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知
18+阅读 · 2022年9月9日
20个安全可靠的免费数据源,各领域数据任你挑
20个安全可靠的免费数据源,各领域数据任你挑
机器学习算法与Python学习
13+阅读 · 2019年5月9日
泰国通过个人信息保护法
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
AI前线
46+阅读 · 2019年2月25日
【大数据】StreamSets:一个大数据采集工具
【大数据】StreamSets:一个大数据采集工具
产业智能官
40+阅读 · 2018年12月5日
【工业大数据】工业大数据始于业务止于业务、车间物联网数据管理、面向产品全寿期的xBOM、构建制造型企业新型能力
【工业大数据】工业大数据始于业务止于业务、车间物联网数据管理、面向产品全寿期的xBOM、构建制造型企业新型能力
产业智能官
12+阅读 · 2018年10月22日
【CPS】社会物理信息系统(CPSS)及其典型应用
【CPS】社会物理信息系统(CPSS)及其典型应用
产业智能官
16+阅读 · 2018年9月18日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
综述——隐私保护集合交集计算技术研究
综述——隐私保护集合交集计算技术研究
计算机研究与发展
22+阅读 · 2017年10月24日
数据流发布中的隐私保护理论和方法研究
国家自然科学基金
7+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
在线检测工件表面质量的“透明窗”方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
流密码可约性高效判别算法存在性的研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于虚拟原型的信息物理融合系统高效可信构造研究
国家自然科学基金
8+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
面向全生命周期的可信软件测度模型和过程改进工具研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于构件的可信软件构造及其行为动态可信测评
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs
Arxiv
0+阅读 · 2月14日
TrustMee: Self-Verifying Remote Attestation Evidence
Arxiv
0+阅读 · 2月13日
Reliable Hierarchical Operating System Fingerprinting via Conformal Prediction
Arxiv
0+阅读 · 2月13日
Architecting Trust: A Framework for Secure IoT Systems Through Trusted Execution and Semantic Middleware
Arxiv
0+阅读 · 2月11日
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
Arxiv
0+阅读 · 2月4日
Cargo Sherlock: An SMT-Based Checker for Software Trust Costs
Arxiv
0+阅读 · 2月3日
Things that Matter -- Identifying Interactions and IoT Device Types in Encrypted Matter Traffic
Arxiv
0+阅读 · 2月2日
Towards Trustworthy Multimodal Recommendation
Arxiv
0+阅读 · 1月31日
A Survey on Mapping Digital Systems with Bill of Materials: Development, Practices, and Challenges
Arxiv
0+阅读 · 1月16日
Decentralized Firmware Integrity Verification for Cyber-Physical Systems Using Ethereum Blockchain
Arxiv
0+阅读 · 1月13日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
软件
系统
透明度
知识
元数据
相关VIP内容
《软件保障路线图》12页slides,美国国防工业协会
《软件保障路线图》12页slides,美国国防工业协会
专知会员服务
31+阅读 · 2023年8月11日
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
专知会员服务
26+阅读 · 2023年1月29日
《可信密态计算白皮书》正式发布!48页pdf
《可信密态计算白皮书》正式发布!48页pdf
专知会员服务
35+阅读 · 2022年9月29日
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
推荐系统如何可信?罗格斯大学最新《可信推荐系统》综述,43页pdf阐述可信RS组成与技术
专知会员服务
33+阅读 · 2022年8月8日
重磅!工信部《数据传输安全白皮书》发布,90页pdf
重磅!工信部《数据传输安全白皮书》发布,90页pdf
专知会员服务
87+阅读 · 2022年8月6日
【腾讯等】可信赖图学习:可靠性、可解释性和隐私保护,A Survey of Trustworthy Graph Learning: Reliability, Explainability, and Privacy Protection
【腾讯等】可信赖图学习:可靠性、可解释性和隐私保护,A Survey of Trustworthy Graph Learning: Reliability, Explainability, and Privacy Protection
专知会员服务
20+阅读 · 2022年5月24日
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
国家信息中心等《数据安全复合治理与实践白皮书》,67页pdf
专知会员服务
66+阅读 · 2021年12月27日
【博士论文】软件系统网络化建模、质量度量与保证
专知会员服务
14+阅读 · 2020年12月17日
最新《分布式差分隐私》报告,65页ppt
专知会员服务
41+阅读 · 2020年12月1日
《物联网安全标准化白皮书(2019版)》发布,59页PDF,全国信息安全标准化技术委员会
《物联网安全标准化白皮书(2019版)》发布,59页PDF,全国信息安全标准化技术委员会
专知会员服务
13+阅读 · 2019年11月4日
热门VIP内容
相关资讯
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知
18+阅读 · 2022年9月9日
20个安全可靠的免费数据源,各领域数据任你挑
20个安全可靠的免费数据源,各领域数据任你挑
机器学习算法与Python学习
13+阅读 · 2019年5月9日
泰国通过个人信息保护法
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
AI前线
46+阅读 · 2019年2月25日
【大数据】StreamSets:一个大数据采集工具
【大数据】StreamSets:一个大数据采集工具
产业智能官
40+阅读 · 2018年12月5日
【工业大数据】工业大数据始于业务止于业务、车间物联网数据管理、面向产品全寿期的xBOM、构建制造型企业新型能力
【工业大数据】工业大数据始于业务止于业务、车间物联网数据管理、面向产品全寿期的xBOM、构建制造型企业新型能力
产业智能官
12+阅读 · 2018年10月22日
【CPS】社会物理信息系统(CPSS)及其典型应用
【CPS】社会物理信息系统(CPSS)及其典型应用
产业智能官
16+阅读 · 2018年9月18日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
综述——隐私保护集合交集计算技术研究
综述——隐私保护集合交集计算技术研究
计算机研究与发展
22+阅读 · 2017年10月24日
相关论文
VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs
Arxiv
0+阅读 · 2月14日
TrustMee: Self-Verifying Remote Attestation Evidence
Arxiv
0+阅读 · 2月13日
Reliable Hierarchical Operating System Fingerprinting via Conformal Prediction
Arxiv
0+阅读 · 2月13日
Architecting Trust: A Framework for Secure IoT Systems Through Trusted Execution and Semantic Middleware
Arxiv
0+阅读 · 2月11日
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
TRACE: Transparent Web Reliability Assessment with Contextual Explanations
Arxiv
0+阅读 · 2月4日
Cargo Sherlock: An SMT-Based Checker for Software Trust Costs
Arxiv
0+阅读 · 2月3日
Things that Matter -- Identifying Interactions and IoT Device Types in Encrypted Matter Traffic
Arxiv
0+阅读 · 2月2日
Towards Trustworthy Multimodal Recommendation
Arxiv
0+阅读 · 1月31日
A Survey on Mapping Digital Systems with Bill of Materials: Development, Practices, and Challenges
Arxiv
0+阅读 · 1月16日
Decentralized Firmware Integrity Verification for Cyber-Physical Systems Using Ethereum Blockchain
Arxiv
0+阅读 · 1月13日
相关基金
数据流发布中的隐私保护理论和方法研究
国家自然科学基金
7+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
在线检测工件表面质量的“透明窗”方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
流密码可约性高效判别算法存在性的研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于虚拟原型的信息物理融合系统高效可信构造研究
国家自然科学基金
8+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
面向全生命周期的可信软件测度模型和过程改进工具研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于构件的可信软件构造及其行为动态可信测评
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top