Summary: | These days, it is common to use ready-made components, libraries, and tools in software development. Using third-party software is a good practice, since it enables the development of large applications, without taking an arduous amount of time. A Software Bill of Materials (SBOM) is a list of all the dependencies used in a software. The point of this study is to investigate cross-compilation for multiple architectures and generate a multi-architectural dataset of binaries from different open-source components for SBOM and security assessments. The dataset includes ELF-executables and object files compiled for x86, ARM, RISC-V, and MIPS architectures using different compiler optimization levels.
The dataset can be used to test how SBOM-tools handle binaries across different architectures and optimization settings. The dataset can also be used for cybersecurity research like vulnerability detection. The output of this research can be used to enhance security and improve the robustness of SBOM-tools to combat the rise of supply chain attacks. While the dataset is currently limited in size, it provides groundwork for further research that could expand the dataset with additional components, compiler toolchains, and build configurations.
Nykypäivänä on yleistä käyttää valmiita komponentteja, työkaluja ja kirjastoja ohjelmistokehityksessä. Se on hyvä tapa, sillä se mahdollistaa suurienkin kokonaisuuksien rakentamisen, ilman kohtuuttoman suurta ajankäyttöä. Software Bill of Materials (SBOM) on luettelo ohjelmiston kaikista osista ja riippuvuuksista. Tässä tutkimuksessa tarkasteltiin ohjelmiston ristikääntämistä eri prosessoriarkkitehtuureille. Tavoitteena oli luoda tietoaineistoa avoimen lähdekoodin komponenttien käännetyistä binääritiedostoista. Aineisto sisältää ELF-suoritettavia tiedostoja ja objektitiedostoja, jotka on käännetty x86-, ARM-, RISC-V- ja MIPS-arkkitehtuureille eri kääntäjäoptimointitasoja hyödyntäen.
Tutkimusaineiston avulla voidaan arvioida, miten SBOM-työkalut käsittelevät ristikäännettyjä binääritiedostoja, jotka on luotu eri arkkitehtuureille jokaisella optimointiasetuksella. Lisäksi aineisto luo pohjan kyberturvallisuustutkimukselle, erityisesti haavoittuvuuksien tunnistamisessa. Tätä kaikkea voidaan hyödyntää SBOM-työkalujen kehittämisessä ohjelmistojen toimitusketjuihin kohdistuvien hyökkäysten torjumiseksi. Vaikka aineisto on tällä hetkellä kooltaan rajallinen, se luo hyvän perustan jatkotutkimukselle, jossa sitä voidaan laajentaa muunmuassa uusilla komponenteilla, kääntäjätyökaluilla ja kääntöasetuksilla.
|