論文の概要: Do Software Security Practices Yield Fewer Vulnerabilities?

• arxiv url: http://arxiv.org/abs/2210.14884v2
• Date: Thu, 15 Jun 2023 14:45:33 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-24 14:17:32.911967
• Title: Do Software Security Practices Yield Fewer Vulnerabilities?
• Title（参考訳）: ソフトウェアセキュリティプラクティスは脆弱性を少なくできるか?
• Authors: Nusrat Zahan, Shohanuzzaman Shohan, Dan Harris and Laurie Williams
• Abstract要約: 本研究の目的は、専門家や研究者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。 4つのセキュリティプラクティスが、脆弱性数に影響を与える最も重要なプラクティスでした。 パッケージの総セキュリティスコアが増加するにつれて、報告された脆弱性の数は減少した。
• 参考スコア（独自算出の注目度）: 6.6840472845873276
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Due to the ever-increasing security breaches, practitioners are motivated to produce more secure software. In the United States, the White House Office released a memorandum on Executive Order (EO) 14028 that mandates organizations provide self-attestation of the use of secure software development practices. The OpenSSF Scorecard project allows practitioners to measure the use of software security practices automatically. However, little research has been done to determine whether the use of security practices improves package security, particularly which security practices have the biggest impact on security outcomes. The goal of this study is to assist practitioners and researchers making informed decisions on which security practices to adopt through the development of models between software security practice scores and security vulnerability counts. To that end, we developed five supervised machine learning models for npm and PyPI packages using the OpenSSF Scorecared security practices scores and aggregate security scores as predictors and the number of externally-reported vulnerabilities as a target variable. Our models found four security practices (Maintained, Code Review, Branch Protection, and Security Policy) were the most important practices influencing vulnerability count. However, we had low R^2 (ranging from 9% to 12%) when we tested the models to predict vulnerability counts. Additionally, we observed that the number of reported vulnerabilities increased rather than reduced as the aggregate security score of the packages increased. Both findings indicate that additional factors may influence the package vulnerability count. We suggest that vulnerability count and security score data be refined such that these measures may be used to provide actionable guidance on security practices.
• Abstract（参考訳）: セキュリティ侵害が増え続けているため、実践者はより安全なソフトウェアを開発する動機があります。 アメリカ合衆国では、ホワイトハウスは執行命令(eo 14028)に関する覚書を発表し、組織がセキュアなソフトウェア開発プラクティスの使用を自認することを義務付けている。 OpenSSF Scorecardプロジェクトは、実践者が自動的にソフトウェアセキュリティプラクティスの使用を測定することを可能にする。 しかしながら、セキュリティプラクティスの使用がパッケージセキュリティを改善するかどうか、特にセキュリティプラクティスがセキュリティ結果に最も影響を与えるのかを判断する研究はほとんど行われていない。 本研究の目的は,ソフトウェアセキュリティ実践スコアとセキュリティ脆弱性数の間のモデルの開発を通じて,どのセキュリティプラクティスを採用するべきかを,実践者や研究者がインフォームドで判断することを支援することである。 そこで我々は,OpenSSF Scorecaredセキュリティプラクティススコアを用いて,npmとPyPIパッケージを対象とした5つの教師付き機械学習モデルを開発した。 私たちのモデルでは、4つのセキュリティプラクティス(Maintained、Code Review、ブランチ保護、Security Policy)が脆弱性数に影響を与える最も重要なプラクティスであることが分かりました。 しかし、脆弱性数を予測するためにモデルをテストしたとき、R^2(9%から12%)が低かった。 さらに,パッケージの集合的セキュリティスコアが増加するにつれて,報告された脆弱性の数も減少した。 どちらの発見も、パッケージの脆弱性数に影響を及ぼす可能性があることを示唆している。 我々は,脆弱性数とセキュリティスコアデータを洗練し,これらの対策をセキュリティ対策の実施可能なガイダンスとして用いることを提案する。

関連論文リスト

• Defining and Evaluating Physical Safety for Large Language Models [62.4971588282174]
  大型言語モデル (LLM) は、ドローンのようなロボットシステムを制御するためにますます使われている。 現実世界のアプリケーションに物理的な脅威や害をもたらすリスクは、まだ解明されていない。 我々は,ドローンの物理的安全性リスクを,(1)目標脅威,(2)目標脅威,(3)インフラ攻撃,(4)規制違反の4つのカテゴリに分類する。
  論文  参考訳（メタデータ） (2024-11-04T17:41:25Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities [0.29998889086656577]
  脆弱性の追跡と更新の絶え間ないプロセスは、サイバーセキュリティの専門家にとって最大の関心事だ。 我々は、MITRE ATT&CKから派生した敵対的基準を用いた脅威の軽減に特化して、脆弱性管理のためのフレームワークを提供する。 我々の結果は、サイバー脅威のアクターが標的にし、悪用される可能性のある脆弱性の特定に向けた平均71.5%から91.3%の改善を示している。
  論文  参考訳（メタデータ） (2024-06-09T23:29:12Z)
• Towards Deep Learning Enabled Cybersecurity Risk Assessment for Microservice Architectures [3.0936354370614607]
  CyberWise Predictorは、マイクロサービスアーキテクチャに関連するセキュリティリスクを予測し、評価するためのフレームワークである。 当社のフレームワークは,新たな脆弱性に対する脆弱性メトリクスの自動予測において,平均92%の精度を実現している。
  論文  参考訳（メタデータ） (2024-03-22T12:42:33Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• The Art of Defending: A Systematic Evaluation and Analysis of LLM Defense Strategies on Safety and Over-Defensiveness [56.174255970895466]
  大規模言語モデル(LLM)は、自然言語処理アプリケーションにおいて、ますます重要な役割を担っている。 本稿では,SODE(Safety and Over-Defensiveness Evaluation)ベンチマークを提案する。
  論文  参考訳（メタデータ） (2023-12-30T17:37:06Z)
• Safety Margins for Reinforcement Learning [53.10194953873209]
  安全マージンを生成するためにプロキシ臨界度メトリクスをどのように活用するかを示す。 Atari 環境での APE-X と A3C からの学習方針に対するアプローチを評価する。
  論文  参考訳（メタデータ） (2023-07-25T16:49:54Z)
• Smart Contract and DeFi Security Tools: Do They Meet the Needs of Practitioners? [10.771021805354911]
  スマートコントラクトを狙った攻撃は増加しており、推定645億ドルの損失を生んでいる。 私たちは、目立った攻撃につながる可能性のある脆弱性を特定するために、自動セキュリティツールの有効性に光を当てることを目指しています。 このツールは、われわれのデータセットにおける攻撃のわずか8%を防げた可能性があり、23億ドルの損失のうち1億4900万ドルに相当する。
  論文  参考訳（メタデータ） (2023-04-06T10:27:19Z)
• Bayes Security: A Not So Average Metric [20.60340368521067]
  セキュリティシステムのデザイナは、ディファレンシャルプライバシ(DP)から派生したような最悪のセキュリティ指標を好む。 本稿では,暗号の優位性に触発されたセキュリティ指標ベイズセキュリティについて検討する。
  論文  参考訳（メタデータ） (2020-11-06T14:53:45Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。