論文の概要: Automated Security Findings Management: A Case Study in Industrial
DevOps
- arxiv url: http://arxiv.org/abs/2401.06602v1
- Date: Fri, 12 Jan 2024 14:35:51 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-15 19:06:23.825914
- Title: Automated Security Findings Management: A Case Study in Industrial
DevOps
- Title(参考訳): セキュリティの自動化による管理 - 産業用DevOpsのケーススタディ
- Authors: Markus Voggenreiter, Florian Angermeir, Fabiola Moy\'on, Ulrich
Sch\"opp and Pierre Bonvin
- Abstract要約: 本稿では,産業用DevOpsプロジェクトにおけるセキュリティ発見の管理手法を提案する。
この手法の例として,セキュリティ発見の自動管理のための意味知識基盤であるSecurity Flamaを開発した。
- 参考スコア(独自算出の注目度): 3.7798600249187295
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In recent years, DevOps, the unification of development and operation
workflows, has become a trend for the industrial software development
lifecycle. Security activities turned into an essential field of application
for DevOps principles as they are a fundamental part of secure software
development in the industry. A common practice arising from this trend is the
automation of security tests that analyze a software product from several
perspectives. To effectively improve the security of the analyzed product, the
identified security findings must be managed and looped back to the project
team for stakeholders to take action. This management must cope with several
challenges ranging from low data quality to a consistent prioritization of
findings while following DevOps aims. To manage security findings with the same
efficiency as other activities in DevOps projects, a methodology for the
management of industrial security findings minding DevOps principles is
essential.
In this paper, we propose a methodology for the management of security
findings in industrial DevOps projects, summarizing our research in this domain
and presenting the resulting artifact. As an instance of the methodology, we
developed the Security Flama, a semantic knowledge base for the automated
management of security findings. To analyze the impact of our methodology on
industrial practice, we performed a case study on two DevOps projects of a
multinational industrial enterprise. The results emphasize the importance of
using such an automated methodology in industrial DevOps projects, confirm our
approach's usefulness and positive impact on the studied projects, and identify
the communication strategy as a crucial factor for usability in practice.
- Abstract(参考訳): 近年、開発と運用のワークフローの統合であるDevOpsは、産業ソフトウェア開発ライフサイクルのトレンドになっています。
セキュリティ活動は、業界におけるセキュアなソフトウェア開発の基本的な部分であるため、devops原則のための重要なアプリケーション分野へと変わりました。
この傾向から生じる一般的なプラクティスは、いくつかの観点からソフトウェア製品を分析するセキュリティテストの自動化である。
分析された製品のセキュリティを効果的に改善するためには、特定されたセキュリティの発見を管理し、ステークホルダーが行動を起こすためにプロジェクトチームにループする必要がある。
このマネジメントは、低いデータ品質から、DevOpsを目標とする結果の一貫性のある優先順位付けまで、いくつかの課題に対処する必要があります。
DevOpsプロジェクトで他の活動と同じ効率でセキュリティの発見を管理するためには、DevOps原則を意識した産業セキュリティの発見を管理するための方法論が不可欠である。
本稿では,産業用devopsプロジェクトにおけるセキュリティ所見の管理手法を提案するとともに,この分野の研究成果を要約し,その結果を提示する。
この手法の例として,セキュリティ発見の自動管理のための意味知識基盤であるSecurity Flamaを開発した。
産業実践における方法論の影響を分析するため,多国籍企業における2つのDevOpsプロジェクトのケーススタディを行った。
結果は、産業用devopsプロジェクトでこのような自動化手法を使うことの重要性を強調し、我々のアプローチの有用性と研究プロジェクトへのポジティブな影響を確認し、コミュニケーション戦略を実践におけるユーザビリティの重要な要素として捉えた。
関連論文リスト
- The Enhancement of Software Delivery Performance through Enterprise DevSecOps and Generative Artificial Intelligence in Chinese Technology Firms [0.4532517021515834]
本研究では、DevSecOpsとGenerative Artificial Intelligenceの統合が、IT企業におけるソフトウェアデリバリのパフォーマンスに与える影響について検討する。
その結果、研究開発の効率が大幅に向上し、ソースコード管理が改善され、ソフトウェアの品質とセキュリティが向上した。
論文 参考訳(メタデータ) (2024-11-04T16:44:01Z) - Continuous risk assessment in secure DevOps [0.24475591916185502]
私たちは、組織内のリスク関連アクティビティとの関わりから、セキュアなDevOpsが利益を得られるかについて論じています。
我々は、リスクアセスメント(RA)、特に脅威モデリング(TM)を組み合わせることに集中し、ソフトウェアライフサイクルの早期にセキュリティ上の配慮を適用します。
論文 参考訳(メタデータ) (2024-09-05T10:42:27Z) - EAIRiskBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [47.69642609574771]
EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。
高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。
しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。
EAIRiskBenchは、EAIシナリオにおける自動物理的リスクアセスメントのための新しいフレームワークである。
論文 参考訳(メタデータ) (2024-08-08T13:19:37Z) - AI for DevSecOps: A Landscape and Future Opportunities [6.513361705307775]
DevSecOpsは、最も急速に進化するソフトウェア開発パラダイムの1つだ。
ソフトウェアシステムのセキュリティに関する懸念が高まっているため、DevSecOpsパラダイムが注目されている。
DevOpsワークフローにセキュリティを統合することは、アジリティに影響を与え、デリバリ速度を妨げます。
論文 参考訳(メタデータ) (2024-04-07T07:24:58Z) - Devops And Agile Methods Integrated Software Configuration Management
Experience [0.0]
本研究の目的は,従来の手法と比較して,革新的な手法がソフトウェア構成管理分野にもたらす違いとメリットを検討することである。
ビルドとデプロイメント時間、自動レポート生成、より正確でフォールトフリーなバージョン管理で改善が見られる。
論文 参考訳(メタデータ) (2023-06-24T13:40:27Z) - Evaluating Model-free Reinforcement Learning toward Safety-critical
Tasks [70.76757529955577]
本稿では、国家安全RLの観点から、この領域における先行研究を再考する。
安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。
この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
論文 参考訳(メタデータ) (2022-12-12T06:30:17Z) - Semantic Similarity-Based Clustering of Findings From Security Testing
Tools [1.6058099298620423]
特に、複数の観点からソフトウェアアーチファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的である。
これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。
本研究では,意味論的に類似したセキュリティ発見のクラスタリングに自然言語処理を適用する可能性について検討した。
論文 参考訳(メタデータ) (2022-11-20T19:03:19Z) - Constrained Reinforcement Learning for Robotics via Scenario-Based
Programming [64.07167316957533]
DRLをベースとしたエージェントの性能を最適化し,その動作を保証することが重要である。
本稿では,ドメイン知識を制約付きDRLトレーニングループに組み込む新しい手法を提案する。
我々の実験は、専門家の知識を活用するために我々のアプローチを用いることで、エージェントの安全性と性能が劇的に向上することを示した。
論文 参考訳(メタデータ) (2022-06-20T07:19:38Z) - Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。
私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
論文 参考訳(メタデータ) (2021-07-15T11:14:03Z) - Artificial Intelligence for IT Operations (AIOPS) Workshop White Paper [50.25428141435537]
AIOps(Artificial Intelligence for IT Operations)は、マシンラーニング、ビッグデータ、ストリーミング分析、IT運用管理の交差点で発生する、新たな学際分野である。
AIOPSワークショップの主な目的は、アカデミアと産業界の両方の研究者が集まり、この分野での経験、成果、作業について発表することです。
論文 参考訳(メタデータ) (2021-01-15T10:43:10Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。