当前位置：首页 > 报告详情

Package-Transparency-for-Wasm-Registries.pdf

上传人： 2*** 编号：140570 2023-08-31 PDF PDF 96页 1.67MB

该报告所属合集： 2023云原生安全大会（Cloud Native Security Con 2023）嘉宾PPT合集

打包下载报告合集

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载报告到电脑，查找使用更方便

VIP专享文档

书签

分享

收藏

已收藏

版权投诉

/96

立即下载

word格式文档无特别注明外均可编辑修改，预览文件经过压缩，下载原文更清晰！

三个皮匠报告文库所有资源均是客户上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作商用。

《Package-Transparency-for-Wasm-Registries.pdf》由会员分享，可在线阅读，更多相关《Package-Transparency-for-Wasm-Registries.pdf（96页珍藏版）》请在三个皮匠报告上搜索。

1、Package Transparency forWebAssembly RegistriesKyle Brown,SingleStoreOverviewIntroduce WebAssembly(Wasm)What is a Package Registry?Applying Certificate Transparency to Package RegistriesPackage Transparency&wargPackage Transparency vs.Various AttacksWebAssembly(Wasm)WebAssembly(Wasm)isA platform-agno

2、stic“compile target”orsomething you can compile programs to.Well-supportedWork is in progress for many more languagesIt became a W3C Standard in 2019Wasm was created as a web technologyHistorysupported by major browsers since 2017Wasm isnt just for the webWasm has really valuable propertiesPortabili

3、tySpeedLow startup latencyNear-native performanceSecurityCapability safetySandboxing&memory isolationPeople using Wasm outside the browserDatabase ExtensibilityEdge ComputingServerlessDistributed AppsWasm applications and libraries will becomposed,shared,and deployedWasm needs a nativepackage regist

4、ryWe need a registry as secure as Wasm itselfYou wouldnt seal a vaultwith a CheetoWhat is a Package Registry?RegistryPackage Registries RolePackage Registries RoleRegistryPackageOwnersDelegate names toRegistryPackageOwnersReleasesDelegate names toPublishversionedPackage Registries RoleA Registry is

5、an Index(name,version)package digestRegistries must control metadataPackage NameReleasesfoo0.1.0=sha256:deadbeef,bar1.2.0=sha256:beefdead,RegistryRegistries may delegate content hostingPackage NameReleasesfoo0.1.0=sha256:deadbeef,bar1.2.0=sha256:beefdead,Self-HostedStoreCDNOCIRegistry3rd-PartyConten

6、tMirrorsRegistryHow can we applyCertificate Transparency toPackage Registries?People are able to detect when CAs misissue certificatesClients should be able to detect when registries accept invalidpackage updatesPackage Transparency“Package transparency is publishing cryptographically-verifiable com

WebAssembly (Wasm) 是一种可以在多种平台上运行的编译目标，它具有便携性和接近原生性能的特点，并且具有安全优势，如能力安全和沙盒化。Wasm 已经成为了 W3C 标准，并且在主要浏览器中得到了支持。 Package Registries 是索引内容的地方，不一定是内容存储或提供者。在 Wasm 的上下文中，需要一个与 Wasm 本身一样安全的包注册表。 Package Transparency 是一种构建在证书透明度概念之上的注册表透明度机制，它允许对包作者和注册表本身的行为进行长期审计。这通过公开可用的包注册表状态、通过加密验证的承诺以及审计包作者和注册表来实现。 Warg 是一个协议，用于实现 Package Transparency。它通过 append-only logs 和 sparse Merkle trees 来确保包记录的完整性和可验证性。为了确保客户端只下载和验证相关的包状态，并验证注册表对状态的承诺的有效性，引入了 MapLog Checkpoints 和 Inclusion Proofs。 Monitors 是一类特殊的客户端，它们负责监控日志和映射的一致性，以防止攻击者篡改记录或隐藏新记录。总体而言，Package Transparency 为 WebAssembly 包注册表提供了重要的安全性和透明度，从而防御了多种攻击。这一成果得益于多个贡献者，包括 Lann Martin、Fermyon、Luke Wagner 和 SingleStore。

"WebAssembly如何增强软件安全性？" "包透明性如何防御恶意攻击？" "谁在支持warg项目？"

全行业研究报告分享下载平台

0731-84720580
商务合作：really158d
友链申请 (QQ)：1737380874

关于我们

更多

关于我们

三个皮匠报告微信公众号

三个皮匠报告微信小程序

扫码咨询网站充值下载问题

友情链接：

营销自动化亿欧智库微播易阿里妈妈

copyright@2008-2013 长沙景略智创信息技术有限公司版权所有网站备案/许可证号：湘B2-20190120 | 工信部备案号：湘ICP备17000430号-2 | 公安备案号：湘公网安备43010402001071号

客服

小程序

服务号

折叠