論文の概要: Do Software Security Practices Yield Fewer Vulnerabilities?
- arxiv url: http://arxiv.org/abs/2210.14884v2
- Date: Thu, 15 Jun 2023 14:45:33 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 14:17:32.911967
- Title: Do Software Security Practices Yield Fewer Vulnerabilities?
- Title(参考訳): ソフトウェアセキュリティプラクティスは脆弱性を少なくできるか?
- Authors: Nusrat Zahan, Shohanuzzaman Shohan, Dan Harris and Laurie Williams
- Abstract要約: 本研究の目的は、専門家や研究者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。
4つのセキュリティプラクティスが、脆弱性数に影響を与える最も重要なプラクティスでした。
パッケージの総セキュリティスコアが増加するにつれて、報告された脆弱性の数は減少した。
- 参考スコア(独自算出の注目度): 6.6840472845873276
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Due to the ever-increasing security breaches, practitioners are motivated to
produce more secure software. In the United States, the White House Office
released a memorandum on Executive Order (EO) 14028 that mandates organizations
provide self-attestation of the use of secure software development practices.
The OpenSSF Scorecard project allows practitioners to measure the use of
software security practices automatically. However, little research has been
done to determine whether the use of security practices improves package
security, particularly which security practices have the biggest impact on
security outcomes. The goal of this study is to assist practitioners and
researchers making informed decisions on which security practices to adopt
through the development of models between software security practice scores and
security vulnerability counts.
To that end, we developed five supervised machine learning models for npm and
PyPI packages using the OpenSSF Scorecared security practices scores and
aggregate security scores as predictors and the number of externally-reported
vulnerabilities as a target variable. Our models found four security practices
(Maintained, Code Review, Branch Protection, and Security Policy) were the most
important practices influencing vulnerability count. However, we had low R^2
(ranging from 9% to 12%) when we tested the models to predict vulnerability
counts. Additionally, we observed that the number of reported vulnerabilities
increased rather than reduced as the aggregate security score of the packages
increased. Both findings indicate that additional factors may influence the
package vulnerability count. We suggest that vulnerability count and security
score data be refined such that these measures may be used to provide
actionable guidance on security practices.
- Abstract(参考訳): セキュリティ侵害が増え続けているため、実践者はより安全なソフトウェアを開発する動機があります。
アメリカ合衆国では、ホワイトハウスは執行命令(eo 14028)に関する覚書を発表し、組織がセキュアなソフトウェア開発プラクティスの使用を自認することを義務付けている。
OpenSSF Scorecardプロジェクトは、実践者が自動的にソフトウェアセキュリティプラクティスの使用を測定することを可能にする。
しかしながら、セキュリティプラクティスの使用がパッケージセキュリティを改善するかどうか、特にセキュリティプラクティスがセキュリティ結果に最も影響を与えるのかを判断する研究はほとんど行われていない。
本研究の目的は,ソフトウェアセキュリティ実践スコアとセキュリティ脆弱性数の間のモデルの開発を通じて,どのセキュリティプラクティスを採用するべきかを,実践者や研究者がインフォームドで判断することを支援することである。
そこで我々は,OpenSSF Scorecaredセキュリティプラクティススコアを用いて,npmとPyPIパッケージを対象とした5つの教師付き機械学習モデルを開発した。
私たちのモデルでは、4つのセキュリティプラクティス(Maintained、Code Review、ブランチ保護、Security Policy)が脆弱性数に影響を与える最も重要なプラクティスであることが分かりました。
しかし、脆弱性数を予測するためにモデルをテストしたとき、R^2(9%から12%)が低かった。
さらに,パッケージの集合的セキュリティスコアが増加するにつれて,報告された脆弱性の数も減少した。
どちらの発見も、パッケージの脆弱性数に影響を及ぼす可能性があることを示唆している。
我々は,脆弱性数とセキュリティスコアデータを洗練し,これらの対策をセキュリティ対策の実施可能なガイダンスとして用いることを提案する。
関連論文リスト
- Mitigating Fine-tuning Jailbreak Attack with Backdoor Enhanced Alignment [58.07171349593672]
ファインチューニングベースのジェイルブレイク攻撃(FJAttack)に対する防御のためのバックドア強化安全アライメントを提案する。
安全事例に先行する「バックドアトリガー」として,シークレットプロンプトを統合することで,プレフィックス付き安全事例を構築した。
我々の実験は、バックドア強化安全アライメント(Backdoor Enhanced Safety Alignment)により、最大11個のプレフィックス付き安全サンプルを追加することで、悪意ある微調整 LLM が元のアライメントモデルと同様の安全性性能を達成することを実証した。
論文 参考訳(メタデータ) (2024-02-22T21:05:18Z) - The Art of Defending: A Systematic Evaluation and Analysis of LLM
Defense Strategies on Safety and Over-Defensiveness [56.174255970895466]
大規模言語モデル(LLM)は、自然言語処理アプリケーションにおいて、ますます重要な役割を担っている。
本稿では,SODE(Safety and Over-Defensiveness Evaluation)ベンチマークを提案する。
論文 参考訳(メタデータ) (2023-12-30T17:37:06Z) - A Security Risk Taxonomy for Large Language Models [5.120567378386615]
本稿では,大規模言語モデルによるセキュリティリスクに着目し,現在の研究のギャップに対処する。
本研究は,ユーザモデル通信パイプラインに沿ったセキュリティリスクの分類法を提案する。
ターゲットと攻撃タイプによる攻撃を、プロンプトベースのインタラクションスキームに分類する。
論文 参考訳(メタデータ) (2023-11-19T20:22:05Z) - Enhancing Large Language Models for Secure Code Generation: A
Dataset-driven Study on Vulnerability Mitigation [24.668682498171776]
大規模言語モデル(LLM)はコード生成に大きな進歩をもたらし、初心者と経験豊富な開発者の両方に恩恵を与えている。
しかし、GitHubのようなオープンソースのリポジトリから無防備なデータを使用したトレーニングは、セキュリティ上の脆弱性を不注意に伝播するリスクをもたらす。
本稿では,ソフトウェアセキュリティの観点からのLLMの評価と拡張に焦点をあてた総合的研究について述べる。
論文 参考訳(メタデータ) (2023-10-25T00:32:56Z) - ASSERT: Automated Safety Scenario Red Teaming for Evaluating the
Robustness of Large Language Models [65.79770974145983]
ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。
このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。
統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
論文 参考訳(メタデータ) (2023-10-14T17:10:28Z) - Safety Margins for Reinforcement Learning [74.13100479426424]
安全マージンを生成するためにプロキシ臨界度メトリクスをどのように活用するかを示す。
Atari 環境での APE-X と A3C からの学習方針に対するアプローチを評価する。
論文 参考訳(メタデータ) (2023-07-25T16:49:54Z) - SecureFalcon: The Next Cyber Reasoning System for Cyber Security [1.0700114817489723]
本稿では,FalconLLM上に構築された革新的なモデルアーキテクチャであるSecureFalconを紹介する。
SecureFalconは、脆弱性のあるCコードのサンプルと非脆弱性なCコードのサンプルを区別するように訓練されている。
我々は、その性能を評価するために、生成人工知能(AI)によって構築された新しいトレーニングデータセット、FormAIを構築した。
論文 参考訳(メタデータ) (2023-07-13T08:34:09Z) - Safety Assessment of Chinese Large Language Models [51.83369778259149]
大規模言語モデル(LLM)は、侮辱や差別的なコンテンツを生成し、誤った社会的価値を反映し、悪意のある目的のために使用されることがある。
安全で責任があり倫理的なAIの展開を促進するため、LLMによる100万の強化プロンプトとレスポンスを含むセーフティプロンプトをリリースする。
論文 参考訳(メタデータ) (2023-04-20T16:27:35Z) - Smart Contract and DeFi Security Tools: Do They Meet the Needs of
Practitioners? [10.771021805354911]
スマートコントラクトを狙った攻撃は増加しており、推定645億ドルの損失を生んでいる。
私たちは、目立った攻撃につながる可能性のある脆弱性を特定するために、自動セキュリティツールの有効性に光を当てることを目指しています。
このツールは、われわれのデータセットにおける攻撃のわずか8%を防げた可能性があり、23億ドルの損失のうち1億4900万ドルに相当する。
論文 参考訳(メタデータ) (2023-04-06T10:27:19Z) - AdvCat: Domain-Agnostic Robustness Assessment for Cybersecurity-Critical
Applications with Categorical Inputs [29.907921481157974]
敵攻撃に対する堅牢性は、機械学習のデプロイメントにおける重要な信頼の1つだ。
本稿では,ML駆動型サイバーセキュリティクリティカルな幅広いアプリケーションを対象とした,最適かつ高効率な対向ロバスト性評価プロトコルを提案する。
本研究では,ドメインに依存しないロバスト性評価手法を用いて,偽ニュースの検出と侵入検知問題に関する実験を行った。
論文 参考訳(メタデータ) (2022-12-13T18:12:02Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。