論文の概要: Communicating on Security within Software Development Issue Tracking
- arxiv url: http://arxiv.org/abs/2308.13480v1
- Date: Fri, 25 Aug 2023 16:38:27 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 12:37:04.742003
- Title: Communicating on Security within Software Development Issue Tracking
- Title(参考訳): ソフトウェア開発問題追跡におけるセキュリティのコミュニケート
- Authors: L\'eon McGregor, Manuel Maarek, Hans-Wolfgang Loidl
- Abstract要約: 著名なイシュートラッカからインターフェースを分析して、セキュリティコミュニケーションをどのようにサポートし、セキュリティスコアをどのように統合するかを確認します。
本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。
これは、問題追跡ソフトウェアにおけるCVSSのような質問によるコミュニケーションの改善により、より良いセキュリティインタラクションが引き起こされる可能性があることを示唆している。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: During software development, balancing security and non security issues is
challenging. We focus on security awareness and approaches taken by
non-security experts using software development issue trackers when considering
security. We first analyse interfaces from prominent issue trackers to see how
they support security communication and how they integrate security scoring.
Then, we investigate through a small scale user study what criteria developers
take when prioritising issues, in particular observing their attitudes to
security.
We find projects make reference to CVSS summaries (Common Vulnerability
Scoring System), often alongside CVE reports (Common Vulnerabilities and
Exposures), but issue trackers do not often have interfaces designed for this.
Users in our study were not comfortable with CVSS analysis, though were able to
reason in a manner compatible with CVSS. Detailed explanations and advice were
seen as helpful in making security decisions. This suggests that adding
improvements to communication through CVSS-like questioning in issue tracking
software can elicit better security interactions.
- Abstract(参考訳): ソフトウェア開発では、セキュリティと非セキュリティのバランスをとることが難しい。
セキュリティを考慮したソフトウェア開発イシュートラッカを用いた,非セキュリティ専門家によるセキュリティ意識とアプローチに注目した。
まず、著名なイシュートラッカのインターフェースを分析して、セキュリティコミュニケーションのサポート方法とセキュリティスコアの統合方法を確認します。
そこで我々は,特にセキュリティに対する態度を観察する上で,開発者が問題を優先する場合の基準について,小規模なユーザ調査を通じて検討する。
CVSSサマリー (Common Vulnerability Scoring System) やCVEレポート (Common Vulnerabilities and Exposures) を参照するプロジェクトもあるが,イシュートラッカにはインターフェースが設計されていないことが多い。
本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。
詳細な説明とアドバイスは、セキュリティ決定に役立ちました。
これは、問題追跡ソフトウェアにおけるcvsのような質問によるコミュニケーションの改善が、より優れたセキュリティインタラクションを誘発することを示唆している。
関連論文リスト
- Agent-SafetyBench: Evaluating the Safety of LLM Agents [72.92604341646691]
我々は,大規模言語モデル(LLM)の安全性を評価するための総合ベンチマークであるAgent-SafetyBenchを紹介する。
Agent-SafetyBenchは349のインタラクション環境と2,000のテストケースを含み、安全リスクの8つのカテゴリを評価し、安全でないインタラクションで頻繁に発生する10の一般的な障害モードをカバーする。
16 名の LLM エージェントを評価した結果,いずれのエージェントも 60% 以上の安全性スコアを達成できないことがわかった。
論文 参考訳(メタデータ) (2024-12-19T02:35:15Z) - Contextualizing Security and Privacy of Software-Defined Vehicles: State of the Art and Industry Perspectives [7.160802183553593]
Software-Defined Vehicles(SDV)によるサイバーセキュリティとプライバシの課題に関する調査
SDVはOTA(Over-the-Air)アップデートやV2X(Valby-to-Everything)通信といった機能をますます統合している。
SDVへの移行は、車両が大量の機密データを収集するなど、重要なプライバシー上の懸念も引き起こす。
論文 参考訳(メタデータ) (2024-11-15T22:30:07Z) - Multimodal Situational Safety [73.63981779844916]
マルチモーダル・シチュエーション・セーフティ(Multimodal situational Safety)と呼ばれる新しい安全課題の評価と分析を行う。
MLLMが言語やアクションを通じても安全に応答するためには、言語クエリが対応する視覚的コンテキスト内での安全性への影響を評価する必要があることが多い。
我々は,現在のMLLMの状況安全性能を評価するためのマルチモーダル状況安全ベンチマーク(MSSBench)を開発した。
論文 参考訳(メタデータ) (2024-10-08T16:16:07Z) - Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。
古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。
その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
論文 参考訳(メタデータ) (2024-08-26T13:46:48Z) - Safetywashing: Do AI Safety Benchmarks Actually Measure Safety Progress? [59.96471873997733]
我々は、より有意義な安全指標を開発するための実証的な基盤を提案し、機械学習研究の文脈でAIの安全性を定義する。
我々は、AI安全研究のためのより厳格なフレームワークを提供し、安全性評価の科学を前進させ、測定可能な進歩への道筋を明らかにすることを目指している。
論文 参考訳(メタデータ) (2024-07-31T17:59:24Z) - Safe Inputs but Unsafe Output: Benchmarking Cross-modality Safety Alignment of Large Vision-Language Model [73.8765529028288]
我々は、モダリティ間の安全アライメントを評価するために、セーフインプットとアンセーフアウトプット(SIUO)と呼ばれる新しい安全アライメントの課題を導入する。
この問題を実証的に調査するため,我々はSIUOを作成した。SIUOは,自己修復,違法行為,プライバシー侵害など,9つの重要な安全領域を含むクロスモダリティベンチマークである。
以上の結果から, クローズドおよびオープンソース両方のLVLMの安全性上の重大な脆弱性が明らかとなり, 複雑で現実的なシナリオを確実に解釈し, 応答する上で, 現行モデルが不十分であることが示唆された。
論文 参考訳(メタデータ) (2024-06-21T16:14:15Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - Investigate how developers and managers view security design in software [0.0]
私たちは7人の開発者と2人のマネージャのチームに対してインタビューを行い、彼は2つのチームで実際のソフトウェアプロダクトを開発しました。
我々は,マルウェアによる攻撃が成功した理由に関する彼らの見解を入手し,セキュリティに関して考慮すべき重要な側面について推奨した。
論文 参考訳(メタデータ) (2023-10-22T22:44:02Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - Getting Users Smart Quick about Security: Results from 90 Minutes of
Using a Persuasive Toolkit for Facilitating Information Security Problem
Solving by Non-Professionals [2.4923006485141284]
ビジネスパースペクティブとセキュリティパースペクティブの優先順位の違いにより、セキュリティにおけるユーザエンゲージメントのバランスの取れたレベルを達成するのは難しい。
当社は,同社のセキュリティ脆弱性に関する構造化された議論にユーザを巻き込む,説得力のあるソフトウェアツールキットを開発した。
本報告では,非専門職がツールキットの短期的利用を通じて,セキュリティ問題に対する認識について検討する。
論文 参考訳(メタデータ) (2022-09-06T11:37:21Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。