論文の概要: Communicating on Security within Software Development Issue Tracking
- arxiv url: http://arxiv.org/abs/2308.13480v1
- Date: Fri, 25 Aug 2023 16:38:27 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 12:37:04.742003
- Title: Communicating on Security within Software Development Issue Tracking
- Title(参考訳): ソフトウェア開発問題追跡におけるセキュリティのコミュニケート
- Authors: L\'eon McGregor, Manuel Maarek, Hans-Wolfgang Loidl
- Abstract要約: 著名なイシュートラッカからインターフェースを分析して、セキュリティコミュニケーションをどのようにサポートし、セキュリティスコアをどのように統合するかを確認します。
本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。
これは、問題追跡ソフトウェアにおけるCVSSのような質問によるコミュニケーションの改善により、より良いセキュリティインタラクションが引き起こされる可能性があることを示唆している。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: During software development, balancing security and non security issues is
challenging. We focus on security awareness and approaches taken by
non-security experts using software development issue trackers when considering
security. We first analyse interfaces from prominent issue trackers to see how
they support security communication and how they integrate security scoring.
Then, we investigate through a small scale user study what criteria developers
take when prioritising issues, in particular observing their attitudes to
security.
We find projects make reference to CVSS summaries (Common Vulnerability
Scoring System), often alongside CVE reports (Common Vulnerabilities and
Exposures), but issue trackers do not often have interfaces designed for this.
Users in our study were not comfortable with CVSS analysis, though were able to
reason in a manner compatible with CVSS. Detailed explanations and advice were
seen as helpful in making security decisions. This suggests that adding
improvements to communication through CVSS-like questioning in issue tracking
software can elicit better security interactions.
- Abstract(参考訳): ソフトウェア開発では、セキュリティと非セキュリティのバランスをとることが難しい。
セキュリティを考慮したソフトウェア開発イシュートラッカを用いた,非セキュリティ専門家によるセキュリティ意識とアプローチに注目した。
まず、著名なイシュートラッカのインターフェースを分析して、セキュリティコミュニケーションのサポート方法とセキュリティスコアの統合方法を確認します。
そこで我々は,特にセキュリティに対する態度を観察する上で,開発者が問題を優先する場合の基準について,小規模なユーザ調査を通じて検討する。
CVSSサマリー (Common Vulnerability Scoring System) やCVEレポート (Common Vulnerabilities and Exposures) を参照するプロジェクトもあるが,イシュートラッカにはインターフェースが設計されていないことが多い。
本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。
詳細な説明とアドバイスは、セキュリティ決定に役立ちました。
これは、問題追跡ソフトウェアにおけるcvsのような質問によるコミュニケーションの改善が、より優れたセキュリティインタラクションを誘発することを示唆している。
関連論文リスト
- Prioritizing Safeguarding Over Autonomy: Risks of LLM Agents for Science [67.38554763406098]
大規模言語モデル(LLM)を利用したインテリジェントエージェントは、自律的な実験を行い、様々な分野にわたる科学的発見を促進する上で、大きな可能性を証明している。
彼らの能力は有望だが、安全を慎重に考慮する必要がある新たな脆弱性も導入している。
本稿では,科学領域におけるLSMをベースとしたエージェントの脆弱性の徹底的な調査を行い,その誤用に伴う潜在的なリスクに光を当て,安全性対策の必要性を強調した。
論文 参考訳(メタデータ) (2024-02-06T18:54:07Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - The Art of Defending: A Systematic Evaluation and Analysis of LLM
Defense Strategies on Safety and Over-Defensiveness [56.174255970895466]
大規模言語モデル(LLM)は、自然言語処理アプリケーションにおいて、ますます重要な役割を担っている。
本稿では,SODE(Safety and Over-Defensiveness Evaluation)ベンチマークを提案する。
論文 参考訳(メタデータ) (2023-12-30T17:37:06Z) - Investigate how developers and managers view security design in software [0.0]
私たちは7人の開発者と2人のマネージャのチームに対してインタビューを行い、彼は2つのチームで実際のソフトウェアプロダクトを開発しました。
我々は,マルウェアによる攻撃が成功した理由に関する彼らの見解を入手し,セキュリティに関して考慮すべき重要な側面について推奨した。
論文 参考訳(メタデータ) (2023-10-22T22:44:02Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - Detecting Misuses of Security APIs: A Systematic Review [5.329280109719902]
セキュリティAPIの誤使用は、ハッカーが悪用できる脆弱性をもたらす可能性がある。
API設計の複雑さ、不十分なドキュメント、不十分なセキュリティトレーニングは、セキュリティAPIを誤用する理由のひとつだ。
弊社のレビューは、セキュリティAPIの誤用を検出する最先端技術に関するオープンな研究課題を強調している。
論文 参考訳(メタデータ) (2023-06-15T05:53:23Z) - Towards Safer Generative Language Models: A Survey on Safety Risks,
Evaluations, and Improvements [76.80453043969209]
本調査では,大規模モデルに関する安全研究の枠組みについて述べる。
まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。
トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
論文 参考訳(メタデータ) (2023-02-18T09:32:55Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z) - Getting Users Smart Quick about Security: Results from 90 Minutes of
Using a Persuasive Toolkit for Facilitating Information Security Problem
Solving by Non-Professionals [2.4923006485141284]
ビジネスパースペクティブとセキュリティパースペクティブの優先順位の違いにより、セキュリティにおけるユーザエンゲージメントのバランスの取れたレベルを達成するのは難しい。
当社は,同社のセキュリティ脆弱性に関する構造化された議論にユーザを巻き込む,説得力のあるソフトウェアツールキットを開発した。
本報告では,非専門職がツールキットの短期的利用を通じて,セキュリティ問題に対する認識について検討する。
論文 参考訳(メタデータ) (2022-09-06T11:37:21Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。