論文の概要: An Industry Interview Study of Software Signing for Supply Chain Security

• arxiv url: http://arxiv.org/abs/2406.08198v2
• Date: Thu, 30 Jan 2025 01:19:49 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-01-31 15:13:09.180620
• Title: An Industry Interview Study of Software Signing for Supply Chain Security
• Title（参考訳）: サプライチェーンセキュリティのためのソフトウェア署名に関する業界インタビュー研究
• Authors: Kelechi G. Kalu, Tanya Singla, Chinenye Okafor, Santiago Torres-Arias, James C. Davis,
• Abstract要約: 実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。 私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
• 参考スコア（独自算出の注目度）: 5.433194344896805
• License:
• Abstract: Many software products are composed of components integrated from other teams or external parties. Each additional link in a software product's supply chain increases the risk of the injection of malicious behavior. To improve supply chain provenance, many cybersecurity frameworks, standards, and regulations recommend the use of software signing. However, recent surveys and measurement studies have found that the adoption rate and quality of software signatures are low. We lack in-depth industry perspectives on the challenges and practices of software signing. To understand software signing in practice, we interviewed 18 experienced security practitioners across 13 organizations. We study the challenges that affect the effective implementation of software signing in practice. We also provide possible impacts of experienced software supply chain failures, security standards, and regulations on software signing adoption. To summarize our findings: (1) We present a refined model of the software supply chain factory model highlighting practitioner's signing practices; (2) We highlight the different challenges-technical, organizational, and human-that hamper software signing implementation; (3) We report that experts disagree on the importance of signing; and (4) We describe how internal and external events affect the adoption of software signing. Our work describes the considerations for adopting software signing as one aspect of the broader goal of improved software supply chain security.
• Abstract（参考訳）: 多くのソフトウェア製品は、他のチームや外部から統合されたコンポーネントで構成されています。 ソフトウェア製品のサプライチェーンにおける追加リンクは、悪意のある振る舞いの注入のリスクを高める。 サプライチェーンの証明を改善するために、多くのサイバーセキュリティフレームワーク、標準および規制は、ソフトウェア署名の使用を推奨している。 しかし、最近の調査と測定の結果、ソフトウェアシグネチャの採用率と品質は低いことが判明した。 私たちは、ソフトウェア署名の課題と実践について、深い業界観を欠いています。 実際にソフトウェア署名を理解するために、13の組織で経験豊富なセキュリティ実践者18人にインタビューした。 実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。 また、経験豊富なソフトウェアサプライチェーンの障害、セキュリティ標準、およびソフトウェア署名の採用に関する規制の影響の可能性も提供します。 我々は,(1)実践者の署名実践を強調するソフトウェアサプライチェーンファクトリモデルの改良モデル,(2)ソフトウェア署名実装の技術的,組織的,人間的な異なる課題を強調し,(3)専門家が署名の重要性について意見が一致しないこと,(4)内部イベントと外部イベントがソフトウェア署名の導入にどのように影響するかを報告した。 我々の研究は、ソフトウェアサプライチェーンのセキュリティを改善するというより広い目標の1つの側面として、ソフトウェア署名を採用する際の考慮事項について述べています。

関連論文リスト

• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• S3C2 Summit 2023-11: Industry Secure Supply Chain Summit [60.025314516749205]
  本稿は2023年11月16日に開催された産業安全供給チェーンサミットを要約する。 このサミットの目的は、オープンな議論、相互共有を可能にし、ソフトウェアサプライチェーンの確保において、実践経験のある業界実践者が直面する共通の課題に光を当てることだった。
  論文  参考訳（メタデータ） (2024-08-29T13:40:06Z)
• Security Challenges of Complex Space Applications: An Empirical Study [0.0]
  複雑な宇宙アプリケーションの開発と管理におけるセキュリティ上の課題について検討する。 インタビューでは、ソフトウェアアーティファクトの検証、デプロイされたアプリケーションの検証、セキュリティ障害の単一ポイント、信頼されたステークホルダによるデータ改ざんという、4つの重要なセキュリティ課題について論じています。 私は、宇宙や防衛産業におけるソフトウェア完全性検証のより良い方法を可能にする新しいDevSecOps戦略、プラクティス、ツールの今後の研究を提案します。
  論文  参考訳（メタデータ） (2024-08-15T10:02:46Z)
• Agent-Driven Automatic Software Improvement [55.2480439325792]
  本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。 継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。 我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
  論文  参考訳（メタデータ） (2024-06-24T15:45:22Z)
• SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
  ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。 本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
  論文  参考訳（メタデータ） (2024-05-23T18:53:48Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
  全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。 本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-11-20T12:44:37Z)
• Investigate how developers and managers view security design in software [0.0]
  私たちは7人の開発者と2人のマネージャのチームに対してインタビューを行い、彼は2つのチームで実際のソフトウェアプロダクトを開発しました。 我々は,マルウェアによる攻撃が成功した理由に関する彼らの見解を入手し,セキュリティに関して考慮すべき重要な側面について推奨した。
  論文  参考訳（メタデータ） (2023-10-22T22:44:02Z)
• Software supply chain: review of attacks, risk assessment strategies and security controls [0.13812010983144798]
  ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。 我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。 本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
  論文  参考訳（メタデータ） (2023-05-23T15:25:39Z)
• Lessons from Formally Verified Deployed Software Systems (Extended version) [65.69802414600832]
  本稿は、正式に認証されたシステムを作成し、実際に使用するためにデプロイした各種のアプリケーション分野のプロジェクトについて検討する。 使用する技術、適用の形式、得られた結果、そしてソフトウェア産業が形式的な検証技術やツールの恩恵を受ける能力について示すべき教訓を考察する。
  論文  参考訳（メタデータ） (2023-01-05T18:18:46Z)
• Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
  私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。 私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
  論文  参考訳（メタデータ） (2021-07-15T11:14:03Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。