本論文は、ソフトウェアアプリケーションの依存関係にゼロトラストアーキテクチャを適用する「ゼロトラストディペンデンシー」の概念を提案している。
まず、脆弱性分析と依存関係の調査を通して、ゼロトラストディペンデンシーの有効性と実現可能性を検証した。その結果、多くの脆弱性が依存関係からのオペレーティングシステムリソースへのアクセスを利用しており、これらのリソースアクセスは依存関係の主要な機能から行われていることが分かった。また、アプリケーションが依存関係のオペレーティングシステムリソースアクセス機能をほとんど使用していないことも明らかになった。
これらの知見に基づき、ゼロトラストディペンデンシーのシステム設計ZTDSYS を提案した。ZTDSYSは、依存関係のリソースアクセスを認証・承認し、最小特権を発見・適用するための5つのコンポーネントから構成される。
プロトタイプ実装ZTDJAVA を用いた評価では、ZTDJAVA が既知の脆弱性を効果的に防御し、実アプリケーションに対して低コストで適用できることを示した。また、ほとんどのアプリケーションで5つ以下の依存関係に対してのみ明示的な権限設定が必要であることが分かった。
以上より、ゼロトラストディペンデンシーは、ソフトウェアサプライチェーンの脆弱性を軽減するための実用的な手法であることが示された。
To Another Language
from source content
arxiv.org
Key Insights Distilled From
by Paschal C. A... at arxiv.org 04-26-2024
https://arxiv.org/pdf/2310.14117.pdfDeeper Inquiries