Collaborative Proposal: SaTC: Frontiers: Enabling a Secure and Trustworthy Software Supply Chain
协作提案:SaTC:前沿:实现安全可信的软件供应链
基本信息
- 批准号:2206865
- 负责人:
- 金额:$ 93.93万
- 依托单位:
- 依托单位国家:美国
- 项目类别:Continuing Grant
- 财政年份:2022
- 资助国家:美国
- 起止时间:2022-10-01 至 2027-09-30
- 项目状态:未结题
- 来源:
- 关键词:
项目摘要
The modern world relies on software in almost every human endeavor, and a typical software product includes 80% open source components. Attackers find and exploit accidentally-injected security vulnerabilities and, increasingly, aggressively implant vulnerabilities or malicious code directly into the software supply chain -- the open source software and its build and deployment pipelines. This Frontiers project establishes the Secure Software Supply Chain Center (S3C2), a large-scale, multi-institution effort designed to aid the software industry re-establish trust in the software supply chain through the development of scientific principles, synergistic tools, metrics, and models in the context of human behavior among software supply chain stakeholders. The project’s novelties include the contributions to a diverse workforce that is trained in secure software supply chain methods through research and outreach initiatives, including summer research experiences for undergraduates (REU), summer camps, and the development of course modules for undergraduates, graduate students, and practitioners. The project’s broader significance and importance are the ways in which S3C2 will facilitate rapid innovation with increased confidence in software supply chain security. S3C2 focuses on interconnected research thrusts for two supply chain attack vectors: (1) upstream dependencies and (2) the build process in the context of a continuous integration/continuous deployment (CI/CD) pipeline. Thrust One focuses on developing tools and techniques to aid practitioners with the risk of upstream dependencies. It enhances the utility of the Software Bill of Materials (SBoM) by identifying exploitability of vulnerabilities and changes to attack surfaces and isolates risky code as a stop-gap before patching is possible. Thrust Two focuses on developing tools and techniques to aid practitioners with the risk of build processes. It enables strong guarantees for build integrity through analysis of CI/CD configuration and techniques that help developers achieve reproducible builds.This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria.
现代世界几乎每个人的努力都依赖于软件,一个典型的软件产品包含80%的开源组件。攻击者发现并利用意外注入的安全漏洞,并且越来越积极地将漏洞或恶意代码直接植入软件供应链中——开源软件及其构建和部署管道。这个前沿项目建立了安全软件供应链中心(S3C2),这是一个大规模的、多机构的努力,旨在通过在软件供应链利益相关者之间的人类行为背景下开发科学原理、协同工具、度量和模型,帮助软件行业重新建立对软件供应链的信任。该项目的新颖之处包括通过研究和拓展活动,对安全软件供应链方法训练的多样化劳动力的贡献,包括本科生(REU)的夏季研究经验、夏令营,以及为本科生、研究生和实践者开发的课程模块。该项目更广泛的意义和重要性在于,S3C2将促进快速创新,增强对软件供应链安全的信心。S3C2侧重于两个供应链攻击向量的相互关联的研究重点:(1)上游依赖关系和(2)持续集成/持续部署(CI/CD)管道背景下的构建过程。推力一专注于开发工具和技术,以帮助从业者应对上游依赖关系的风险。它通过识别漏洞的可利用性和攻击面变化来增强软件物料清单(SBoM)的效用,并在可能进行修补之前将有风险的代码作为权宜之计隔离开来。推力2侧重于开发工具和技术,以帮助实践者应对构建过程的风险。它通过分析CI/CD配置和帮助开发人员实现可复制构建的技术,为构建完整性提供了强有力的保证。该奖项反映了美国国家科学基金会的法定使命,并通过使用基金会的知识价值和更广泛的影响审查标准进行评估,被认为值得支持。
项目成果
期刊论文数量(2)
专著数量(0)
科研奖励数量(0)
会议论文数量(0)
专利数量(0)
"Always Contribute Back": A Qualitative Study on Security Challenges of the Open Source Supply Chain
- DOI:10.1109/sp46215.2023.10179378
- 发表时间:2023-05
- 期刊:
- 影响因子:0
- 作者:Dominik Wermke;J. Klemmer;Noah Wöhler;Juliane Schmüser;Harshini Sri Ramulu;Y. Acar;S. Fahl
- 通讯作者:Dominik Wermke;J. Klemmer;Noah Wöhler;Juliane Schmüser;Harshini Sri Ramulu;Y. Acar;S. Fahl
Pushed by Accident: A Mixed-Methods Study on Strategies of Handling Secrets in Source Code Repositories
意外推动:源代码存储库中秘密处理策略的混合方法研究
- DOI:
- 发表时间:2023
- 期刊:
- 影响因子:0
- 作者:Krause, A.;Klemmer, J. H.;Huaman, N;Wermke, D.;Acar, Y.;Fahl, S.
- 通讯作者:Fahl, S.
{{
item.title }}
{{ item.translation_title }}
- DOI:
{{ item.doi }} - 发表时间:
{{ item.publish_year }} - 期刊:
- 影响因子:{{ item.factor }}
- 作者:
{{ item.authors }} - 通讯作者:
{{ item.author }}
数据更新时间:{{ journalArticles.updateTime }}
{{ item.title }}
- 作者:
{{ item.author }}
数据更新时间:{{ monograph.updateTime }}
{{ item.title }}
- 作者:
{{ item.author }}
数据更新时间:{{ sciAawards.updateTime }}
{{ item.title }}
- 作者:
{{ item.author }}
数据更新时间:{{ conferencePapers.updateTime }}
{{ item.title }}
- 作者:
{{ item.author }}
数据更新时间:{{ patent.updateTime }}
Adam Aviv其他文献
Adam Aviv的其他文献
{{
item.title }}
{{ item.translation_title }}
- DOI:
{{ item.doi }} - 发表时间:
{{ item.publish_year }} - 期刊:
- 影响因子:{{ item.factor }}
- 作者:
{{ item.authors }} - 通讯作者:
{{ item.author }}
{{ truncateString('Adam Aviv', 18)}}的其他基金
Collaborative Research: SaTC: CORE: Small: Measuring, Validating and Improving upon App-Based Privacy Nutrition Labels
合作研究:SaTC:核心:小型:测量、验证和改进基于应用程序的隐私营养标签
- 批准号:
2247952 - 财政年份:2023
- 资助金额:
$ 93.93万 - 项目类别:
Standard Grant
Collaborative Research: Conference: 2023 Workshop for Aspiring PIs in Secure and Trusted Cyberspace
协作研究:会议:2023 年安全可信网络空间中有抱负的 PI 研讨会
- 批准号:
2247404 - 财政年份:2023
- 资助金额:
$ 93.93万 - 项目类别:
Standard Grant
Security and Privacy Implications of Remote Proctoring for School Policies and Practices
远程监考对学校政策和实践的安全和隐私影响
- 批准号:
2138654 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Standard Grant
SCC-PG: Privacy and Fairness in Planning when using Third-Party, Heterogeneous Data Sources
SCC-PG:使用第三方异构数据源时规划的隐私和公平性
- 批准号:
1951852 - 财政年份:2021
- 资助金额:
$ 93.93万 - 项目类别:
Standard Grant
CAREER: Enhancing Mobile Authentication by Measuring the Authentication Life-Cycle
职业:通过衡量身份验证生命周期来增强移动身份验证
- 批准号:
1845300 - 财政年份:2019
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
TWC: Medium: Collaborative: RUI: Active Security
TWC:媒介:协作:RUI:主动安全
- 批准号:
1406177 - 财政年份:2014
- 资助金额:
$ 93.93万 - 项目类别:
Interagency Agreement
相似国自然基金
长江上游地区山地康养旅游高质量发展的路径优化和政策建议
- 批准号:
- 批准年份:2025
- 资助金额:0.0 万元
- 项目类别:省市级项目
重庆市科技资源统筹服务的路径研究及对策建议
- 批准号:
- 批准年份:2025
- 资助金额:0.0 万元
- 项目类别:省市级项目
基于SHAP增强解释性的机器学习模型预测老年患者围手术期神经认知障碍——依据2018共识建议的研究
- 批准号:
- 批准年份:2025
- 资助金额:0.0 万元
- 项目类别:省市级项目
社会决策中建议提出的趋同偏差机理解析
- 批准号:MS25C090026
- 批准年份:2025
- 资助金额:0.0 万元
- 项目类别:省市级项目
重庆市高速公路发展效果调研及“十五五”建设发展优化建议
- 批准号:
- 批准年份:2025
- 资助金额:0.0 万元
- 项目类别:省市级项目
跨领域知识驱动的提案智能感知及辅助决策技术研究
- 批准号:
- 批准年份:2025
- 资助金额:0.0 万元
- 项目类别:省市级项目
浙江省以高水平科技创新开放环境建设助力打造高能级开放强省的方法路径及对策研究
- 批准号:2025C25058
- 批准年份:2025
- 资助金额:0.0 万元
- 项目类别:省市级项目
高校扩建与区域创新能力:效果测度、机制探究与政策建议
- 批准号:72303107
- 批准年份:2023
- 资助金额:30.00 万元
- 项目类别:青年科学基金项目
网络社会都会治理的连结与切断:长三角城市群的空间形构及其创新氛围塑造的策略性建议
- 批准号:
- 批准年份:2021
- 资助金额:58 万元
- 项目类别:面上项目
地区环境目标约束的就业效应研究:内在机制、边界条件与政策建议
- 批准号:72173118
- 批准年份:2021
- 资助金额:48 万元
- 项目类别:面上项目
相似海外基金
Collaborative Proposal: SaTC: Frontiers: Center for Distributed Confidential Computing (CDCC)
协作提案:SaTC:前沿:分布式机密计算中心 (CDCC)
- 批准号:
2401496 - 财政年份:2023
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
Collaborative Research: Conference: SaTC: CORE: 2.0 Vision Proposal
协作研究:会议:SaTC:核心:2.0 愿景提案
- 批准号:
2316833 - 财政年份:2023
- 资助金额:
$ 93.93万 - 项目类别:
Standard Grant
Collaborative Research: Conference: SaTC: CORE: 2.0 Vision Proposal
协作研究:会议:SaTC:核心:2.0 愿景提案
- 批准号:
2316832 - 财政年份:2023
- 资助金额:
$ 93.93万 - 项目类别:
Standard Grant
Collaborative Proposal: SaTC: Frontiers: Securing the Future of Computing for Marginalized and Vulnerable Populations
协作提案:SaTC:前沿:确保边缘化和弱势群体的计算未来
- 批准号:
2207019 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
Collaborative Proposal: SaTC: Frontiers: Center for Distributed Confidential Computing (CDCC)
协作提案:SaTC:前沿:分布式机密计算中心 (CDCC)
- 批准号:
2207216 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
Collaborative Proposal: SaTC: Frontiers: Securing the Future of Computing for Marginalized and Vulnerable Populations
协作提案:SaTC:前沿:确保边缘化和弱势群体的计算未来
- 批准号:
2205171 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
Collaborative Proposal: SaTC: Frontiers: Enabling a Secure and Trustworthy Software Supply Chain
协作提案:SaTC:前沿:实现安全可信的软件供应链
- 批准号:
2206921 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
Collaborative Proposal: SaTC: Frontiers: Center for Distributed Confidential Computing (CDCC)
协作提案:SaTC:前沿:分布式机密计算中心 (CDCC)
- 批准号:
2207218 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
Collaborative Proposal: SaTC: Frontiers: Center for Distributed Confidential Computing (CDCC)
协作提案:SaTC:前沿:分布式机密计算中心 (CDCC)
- 批准号:
2207214 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant
Collaborative Proposal: SaTC: Frontiers: Securing the Future of Computing for Marginalized and Vulnerable Populations
协作提案:SaTC:前沿:确保边缘化和弱势群体的计算未来
- 批准号:
2206950 - 财政年份:2022
- 资助金额:
$ 93.93万 - 项目类别:
Continuing Grant