- 简介软件供应链攻击已成为一个重要的威胁,因为软件开发越来越依赖于来自多个、通常未经验证的来源的贡献。未经验证的源代码在执行之前并不构成威胁。Log4Shell是一个最近的供应链攻击的例子,它在运行时处理了恶意输入,导致远程代码执行。它利用Java的动态类加载功能来破坏应用程序的运行时完整性。传统的保护措施可以在构建时减轻供应链攻击,但在减轻动态加载的恶意类所构成的运行时威胁方面存在局限性。这需要一个能够检测这些恶意类并防止它们在运行时执行的系统。本文介绍了SBOM.EXE,这是一个主动的系统,旨在保护Java应用程序免受此类威胁。SBOM.EXE根据应用程序的完整软件供应链构建一个全面的允许列表,其中包含允许的类。这个允许列表在运行时执行,阻止任何未被识别或篡改的类执行。我们通过减轻上述威胁基础上的3个关键CVE来评估SBOM.EXE的效果。我们在3个开源Java应用程序中运行我们的工具,并报告我们的工具与现实世界的应用程序兼容,性能开销最小。我们的研究结果表明,SBOM.EXE可以有效地维护运行时的完整性,对性能影响最小,为加强Java应用程序防御动态类加载攻击提供了一种新的方法。
- 图表
- 解决问题如何保护Java应用程序免受动态类加载攻击的威胁?
- 关键思路SBOM.EXE是一个主动系统,通过构建允许列表来保护Java应用程序免受动态类加载攻击的威胁。该系统在运行时实施允许列表,阻止任何未被识别或篡改的类执行。
- 其它亮点论文介绍了SBOM.EXE系统,该系统可以有效地维护运行时完整性,对实际应用程序兼容性良好,性能开销很小。实验使用了3个开源Java应用程序,证明了SBOM.EXE的有效性。
- 最近的相关研究包括:1.《软件供应链安全:现状、挑战和未来研究方向》;2.《软件供应链攻击:分析、检测和防范技术》;3.《软件供应链攻击的威胁与防范》等。
沙发等你来抢
去评论
评论
沙发等你来抢