論文の概要: Automated Security Findings Management: A Case Study in Industrial
DevOps
- arxiv url: http://arxiv.org/abs/2401.06602v1
- Date: Fri, 12 Jan 2024 14:35:51 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-15 19:06:23.825914
- Title: Automated Security Findings Management: A Case Study in Industrial
DevOps
- Title(参考訳): セキュリティの自動化による管理 - 産業用DevOpsのケーススタディ
- Authors: Markus Voggenreiter, Florian Angermeir, Fabiola Moy\'on, Ulrich
Sch\"opp and Pierre Bonvin
- Abstract要約: 本稿では,産業用DevOpsプロジェクトにおけるセキュリティ発見の管理手法を提案する。
この手法の例として,セキュリティ発見の自動管理のための意味知識基盤であるSecurity Flamaを開発した。
- 参考スコア(独自算出の注目度): 3.7798600249187295
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In recent years, DevOps, the unification of development and operation
workflows, has become a trend for the industrial software development
lifecycle. Security activities turned into an essential field of application
for DevOps principles as they are a fundamental part of secure software
development in the industry. A common practice arising from this trend is the
automation of security tests that analyze a software product from several
perspectives. To effectively improve the security of the analyzed product, the
identified security findings must be managed and looped back to the project
team for stakeholders to take action. This management must cope with several
challenges ranging from low data quality to a consistent prioritization of
findings while following DevOps aims. To manage security findings with the same
efficiency as other activities in DevOps projects, a methodology for the
management of industrial security findings minding DevOps principles is
essential.
In this paper, we propose a methodology for the management of security
findings in industrial DevOps projects, summarizing our research in this domain
and presenting the resulting artifact. As an instance of the methodology, we
developed the Security Flama, a semantic knowledge base for the automated
management of security findings. To analyze the impact of our methodology on
industrial practice, we performed a case study on two DevOps projects of a
multinational industrial enterprise. The results emphasize the importance of
using such an automated methodology in industrial DevOps projects, confirm our
approach's usefulness and positive impact on the studied projects, and identify
the communication strategy as a crucial factor for usability in practice.
- Abstract(参考訳): 近年、開発と運用のワークフローの統合であるDevOpsは、産業ソフトウェア開発ライフサイクルのトレンドになっています。
セキュリティ活動は、業界におけるセキュアなソフトウェア開発の基本的な部分であるため、devops原則のための重要なアプリケーション分野へと変わりました。
この傾向から生じる一般的なプラクティスは、いくつかの観点からソフトウェア製品を分析するセキュリティテストの自動化である。
分析された製品のセキュリティを効果的に改善するためには、特定されたセキュリティの発見を管理し、ステークホルダーが行動を起こすためにプロジェクトチームにループする必要がある。
このマネジメントは、低いデータ品質から、DevOpsを目標とする結果の一貫性のある優先順位付けまで、いくつかの課題に対処する必要があります。
DevOpsプロジェクトで他の活動と同じ効率でセキュリティの発見を管理するためには、DevOps原則を意識した産業セキュリティの発見を管理するための方法論が不可欠である。
本稿では,産業用devopsプロジェクトにおけるセキュリティ所見の管理手法を提案するとともに,この分野の研究成果を要約し,その結果を提示する。
この手法の例として,セキュリティ発見の自動管理のための意味知識基盤であるSecurity Flamaを開発した。
産業実践における方法論の影響を分析するため,多国籍企業における2つのDevOpsプロジェクトのケーススタディを行った。
結果は、産業用devopsプロジェクトでこのような自動化手法を使うことの重要性を強調し、我々のアプローチの有用性と研究プロジェクトへのポジティブな影響を確認し、コミュニケーション戦略を実践におけるユーザビリティの重要な要素として捉えた。
関連論文リスト
- On STPA for Distributed Development of Safe Autonomous Driving: An Interview Study [0.7851536646859475]
System-Theoretic Process Analysis (STPA)は、防衛や航空宇宙といった安全関連分野に適用される新しい手法である。
STPAは、分散システム開発とマルチアトラクション設計レベルを備えた自動車システム工学において、完全には有効でない前提条件を前提としている。
これは継続的開発とデプロイメントにおける保守性の問題と見なすことができる。
論文 参考訳(メタデータ) (2024-03-14T15:56:02Z) - Industrial Challenges in Secure Continuous Development [0.7734726150561089]
セキュリティと継続的ソフトウェアエンジニアリングの交わりは、アジャイル開発運動の初期から大きな関心を集めています。
本稿では,異なる役割の実践者との課題を検証した,我々の取り組みの関連部分を要約する。
課題の集合を浮き彫りにするよりも、実践者や研究者が今後の作業を説明する上で、私たちが特定した4つの重要な研究指針を提示することで、結論付けます。
論文 参考訳(メタデータ) (2024-01-12T12:02:16Z) - An Adaptable Approach for Successful SIEM Adoption in Companies [0.3441021278275805]
本稿では,企業における各SIEMシステムの実装のための総合的手続きモデルを開発する。
検証期間中の研究によると, 手順モデルが適用可能であることが確認された。
論文 参考訳(メタデータ) (2023-08-02T10:28:08Z) - Devops And Agile Methods Integrated Software Configuration Management
Experience [0.0]
本研究の目的は,従来の手法と比較して,革新的な手法がソフトウェア構成管理分野にもたらす違いとメリットを検討することである。
ビルドとデプロイメント時間、自動レポート生成、より正確でフォールトフリーなバージョン管理で改善が見られる。
論文 参考訳(メタデータ) (2023-06-24T13:40:27Z) - Evaluating Model-free Reinforcement Learning toward Safety-critical
Tasks [70.76757529955577]
本稿では、国家安全RLの観点から、この領域における先行研究を再考する。
安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。
この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
論文 参考訳(メタデータ) (2022-12-12T06:30:17Z) - Semantic Similarity-Based Clustering of Findings From Security Testing
Tools [1.6058099298620423]
特に、複数の観点からソフトウェアアーチファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的である。
これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。
本研究では,意味論的に類似したセキュリティ発見のクラスタリングに自然言語処理を適用する可能性について検討した。
論文 参考訳(メタデータ) (2022-11-20T19:03:19Z) - Constrained Reinforcement Learning for Robotics via Scenario-Based
Programming [64.07167316957533]
DRLをベースとしたエージェントの性能を最適化し,その動作を保証することが重要である。
本稿では,ドメイン知識を制約付きDRLトレーニングループに組み込む新しい手法を提案する。
我々の実験は、専門家の知識を活用するために我々のアプローチを用いることで、エージェントの安全性と性能が劇的に向上することを示した。
論文 参考訳(メタデータ) (2022-06-20T07:19:38Z) - Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。
私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
論文 参考訳(メタデータ) (2021-07-15T11:14:03Z) - Artificial Intelligence for IT Operations (AIOPS) Workshop White Paper [50.25428141435537]
AIOps(Artificial Intelligence for IT Operations)は、マシンラーニング、ビッグデータ、ストリーミング分析、IT運用管理の交差点で発生する、新たな学際分野である。
AIOPSワークショップの主な目的は、アカデミアと産業界の両方の研究者が集まり、この分野での経験、成果、作業について発表することです。
論文 参考訳(メタデータ) (2021-01-15T10:43:10Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - AI-based Modeling and Data-driven Evaluation for Smart Manufacturing
Processes [56.65379135797867]
本稿では,半導体製造プロセスに関する有用な知見を得るための動的アルゴリズムを提案する。
本稿では,遺伝的アルゴリズムとニューラルネットワークを利用して,知的特徴選択アルゴリズムを提案する。
論文 参考訳(メタデータ) (2020-08-29T14:57:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。