論文の概要: An Industry Interview Study of Software Signing for Supply Chain Security

• arxiv url: http://arxiv.org/abs/2406.08198v1
• Date: Wed, 12 Jun 2024 13:30:53 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-13 16:55:44.811324
• Title: An Industry Interview Study of Software Signing for Supply Chain Security
• Title（参考訳）: サプライチェーンセキュリティのためのソフトウェア署名に関する業界インタビュー研究
• Authors: Kelechi G. Kalu, Tanya Singla, Chinenye Okafor, Santiago Torres-Arias, James C. Davis,
• Abstract要約: 多くのサイバーセキュリティフレームワーク、標準、規制は、ソフトウェア署名の使用を推奨している。 最近の調査によると、ソフトウェアシグネチャの採用率と品質は低い。 13の組織にまたがる18の業界実践者に対してインタビューを行った。
• 参考スコア（独自算出の注目度）: 5.433194344896805
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Many software products are composed by the recursive integration of components from other teams or external parties. Each additional link in a software product's supply chain increases the risk of the injection of malicious behavior. To improve supply chain provenance, many cybersecurity frameworks, standards, and regulations recommend the use of software signing. However, recent surveys and measurement studies have found that the adoption rate and quality of software signatures are low. These findings raise questions about the practical application of software signing, the human factors influencing its adoption, and the challenges faced during its implementation. We lack in-depth industry perspectives on the challenges and practices of software signing. To understand software signing in practice, we interviewed 18 high-ranking industry practitioners across 13 organizations. We provide possible impacts of experienced software supply chain failures, security standards, and regulations on software signing adoption. We also study the challenges that affect an effective software signing implementation. To summarize our findings: (1) We present a refined model of the software supply chain factory model highlighting practitioner's signing practices; (2) We highlight the different challenges -- Technical, Organizational, and Human -- that hamper software signing implementation; (3) We report that expert subjects disagree on the importance of signing; (4) We describe how failure incidents and industry standards affect the adoption of software signing and other security techniques. Our findings contribute to the understanding of software supply chain security by highlighting the impact of human and organizational factors on Software Supply Chain risks and providing nuanced insights for effectively implementing Software Supply Chain security controls -- towards Software signing in practice.
• Abstract（参考訳）: 多くのソフトウェア製品は、他のチームや外部からのコンポーネントの再帰的な統合によって構成されます。 ソフトウェア製品のサプライチェーンにおける追加リンクは、悪意のある振る舞いの注入のリスクを高める。 サプライチェーンの証明を改善するために、多くのサイバーセキュリティフレームワーク、標準および規制は、ソフトウェア署名の使用を推奨している。 しかし、最近の調査と測定の結果、ソフトウェアシグネチャの採用率と品質は低いことが判明した。 これらの発見は、ソフトウェア署名の実践的適用、採用に影響を与える人的要因、実装中に直面する課題に関する疑問を提起する。 私たちは、ソフトウェア署名の課題と実践について、深い業界観を欠いています。 実際にソフトウェア署名を理解するために、13の組織にまたがる18人の業界関係者にインタビューした。 私たちは、経験豊富なソフトウェアサプライチェーンの障害、セキュリティ標準、ソフトウェア署名の採用に関する規制の影響の可能性を提供します。 また,効率的なソフトウェア署名実装に影響を与える課題についても検討する。 1)ソフトウェアサプライチェーンファクトリモデルの改良モデル,(2)ソフトウェア署名の実施を妨げる技術的,組織的,人間的なさまざまな課題,(3)専門家が署名の重要性について意見が一致しないこと,(4)失敗事故や業界標準がソフトウェア署名やその他のセキュリティ手法の採用にどのように影響するかを報告する。 私たちの発見は,ソフトウェアサプライチェーンのセキュリティ管理を効果的に実施する上で,人的および組織的要因がソフトウェアサプライチェーンのリスクに与える影響を明らかにすることによって,ソフトウェアサプライチェーンのセキュリティの理解に寄与します。

関連論文リスト

• Agent-Driven Automatic Software Improvement [55.2480439325792]
  本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。 継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。 我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
  論文  参考訳（メタデータ） (2024-06-24T15:45:22Z)
• Position: How Regulation Will Change Software Security Research [3.8165295526908243]
  ソフトウェア工学の研究は、業界が新しい標準に従うのに役立つより良いツールとサポートを提供する必要がある、と私たちは主張する。 我々は法学者と計算機科学者の強い協力を主張する。
  論文  参考訳（メタデータ） (2024-06-06T15:16:44Z)
• SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
  ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。 本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
  論文  参考訳（メタデータ） (2024-05-23T18:53:48Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
  全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。 本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-11-20T12:44:37Z)
• Investigate how developers and managers view security design in software [0.0]
  私たちは7人の開発者と2人のマネージャのチームに対してインタビューを行い、彼は2つのチームで実際のソフトウェアプロダクトを開発しました。 我々は,マルウェアによる攻撃が成功した理由に関する彼らの見解を入手し,セキュリティに関して考慮すべき重要な側面について推奨した。
  論文  参考訳（メタデータ） (2023-10-22T22:44:02Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Software supply chain: review of attacks, risk assessment strategies and security controls [0.13812010983144798]
  ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。 我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。 本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
  論文  参考訳（メタデータ） (2023-05-23T15:25:39Z)
• Lessons from Formally Verified Deployed Software Systems (Extended version) [65.69802414600832]
  本稿は、正式に認証されたシステムを作成し、実際に使用するためにデプロイした各種のアプリケーション分野のプロジェクトについて検討する。 使用する技術、適用の形式、得られた結果、そしてソフトウェア産業が形式的な検証技術やツールの恩恵を受ける能力について示すべき教訓を考察する。
  論文  参考訳（メタデータ） (2023-01-05T18:18:46Z)
• Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
  私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。 私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
  論文  参考訳（メタデータ） (2021-07-15T11:14:03Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。