論文の概要: Continuous risk assessment in secure DevOps

• arxiv url: http://arxiv.org/abs/2409.03405v1
• Date: Thu, 5 Sep 2024 10:42:27 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-06 21:00:20.794757
• Title: Continuous risk assessment in secure DevOps
• Title（参考訳）: セキュアなDevOpsにおける継続的リスクアセスメント
• Authors: Ricardo M. Czekster,
• Abstract要約: 私たちは、組織内のリスク関連アクティビティとの関わりから、セキュアなDevOpsが利益を得られるかについて論じています。 我々は、リスクアセスメント(RA)、特に脅威モデリング(TM)を組み合わせることに集中し、ソフトウェアライフサイクルの早期にセキュリティ上の配慮を適用します。
• 参考スコア（独自算出の注目度）: 0.24475591916185502
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: DevOps (development and operations), has significantly changed the way to overcome deficiencies for delivering high-quality software to production environments. Past years witnessed an increased interest in embedding DevOps with cybersecurity in an approach dubbed secure DevOps. However, as the practices and guidance mature, teams must consider them within a broader risk context. We argue here how secure DevOps could profit from engaging with risk related activities within organisations. We focus on combining Risk Assessment (RA), particularly Threat Modelling (TM) and apply security considerations early in the software life-cycle. Our contribution provides a roadmap for enacting secure DevOps alongside risk objectives, devising informed ways to improve TM and establishing effective security underpinnings in organisations focusing on software products and services. We aim to outline proven methods over the literature on the subject discussing case studies, technologies, and tools. It presents a case study for a real-world inspired organisation employing the proposed approach with a discussion. Enforcing these novel mechanisms centred on security requires investment, training, and stakeholder engagement. It requires understanding the actual benefits of automation in light of Continuous Integration/Continuous Delivery settings that improve the overall quality of software solutions reaching the market.
• Abstract（参考訳）: DevOps(開発と運用)は、高品質なソフトウェアを本番環境に提供する上での障害を克服する方法を大きく変えました。 ここ数年、Secure DevOpsと呼ばれるアプローチで、サイバーセキュリティにDevOpsを組み込むことへの関心が高まっている。 しかしながら、プラクティスとガイダンスが成熟するにつれて、チームはより広範なリスクコンテキストの中でそれらを考慮しなければなりません。 ここでは、組織内のリスク関連アクティビティとの関わりから、セキュアなDevOpsが利益を得る方法について論じています。 我々は、リスクアセスメント(RA)、特に脅威モデリング(TM)を組み合わせることに集中し、ソフトウェアライフサイクルの早期にセキュリティ上の配慮を適用します。 私たちのコントリビューションは、リスク目標と合わせてセキュアなDevOpsを実現するためのロードマップを提供し、TMを改善するための情報的な方法を考案し、ソフトウェア製品やサービスにフォーカスした組織において効果的なセキュリティ基盤を確立するためのロードマップを提供します。 本研究は,ケーススタディ,技術,ツールについて論じる上で,文献上で実証された手法を概説することを目的としている。 これは、提案されたアプローチを議論に取り入れた現実世界にインスパイアされた組織のためのケーススタディである。 セキュリティを中心としたこれらの新しいメカニズムを実施するには、投資、トレーニング、ステークホルダーの関与が必要となる。 市場に到達するソフトウェアソリューションの全体的な品質を改善するために、継続的インテグレーション/継続的デリバリの設定を考慮して、自動化の実際のメリットを理解する必要があります。

関連論文リスト

• In-Context Experience Replay Facilitates Safety Red-Teaming of Text-to-Image Diffusion Models [97.82118821263825]
  テキスト・ツー・イメージ(T2I)モデルは目覚ましい進歩を見せているが、有害なコンテンツを生成する可能性はまだMLコミュニティにとって重要な関心事である。 ICERは,解釈可能かつ意味論的に意味のある重要なプロンプトを生成する新しい赤チームフレームワークである。 我々の研究は、より堅牢な安全メカニズムをT2Iシステムで開発するための重要な洞察を提供する。
  論文  参考訳（メタデータ） (2024-11-25T04:17:24Z)
• Cross-Modality Safety Alignment [73.8765529028288]
  我々は、モダリティ間の安全アライメントを評価するために、セーフインプットとアンセーフアウトプット(SIUO)と呼ばれる新しい安全アライメントの課題を導入する。 この問題を実証的に調査するため,我々はSIUOを作成した。SIUOは,自己修復,違法行為,プライバシー侵害など,9つの重要な安全領域を含むクロスモダリティベンチマークである。 以上の結果から, クローズドおよびオープンソース両方のLVLMの安全性上の重大な脆弱性が明らかとなり, 複雑で現実的なシナリオを確実に解釈し, 応答する上で, 現行モデルが不十分であることが示唆された。
  論文  参考訳（メタデータ） (2024-06-21T16:14:15Z)
• AI for DevSecOps: A Landscape and Future Opportunities [6.513361705307775]
  DevSecOpsは、最も急速に進化するソフトウェア開発パラダイムの1つだ。 ソフトウェアシステムのセキュリティに関する懸念が高まっているため、DevSecOpsパラダイムが注目されている。 DevOpsワークフローにセキュリティを統合することは、アジリティに影響を与え、デリバリ速度を妨げます。
  論文  参考訳（メタデータ） (2024-04-07T07:24:58Z)
• Mapping LLM Security Landscapes: A Comprehensive Stakeholder Risk Assessment Proposal [0.0]
  本稿では,従来のシステムにおけるリスク評価手法のようなツールを用いたリスク評価プロセスを提案する。 我々は、潜在的な脅威要因を特定し、脆弱性要因に対して依存するシステムコンポーネントをマッピングするためのシナリオ分析を行う。 3つの主要株主グループに対する脅威もマップ化しています。
  論文  参考訳（メタデータ） (2024-03-20T05:17:22Z)
• Welcome Your New AI Teammate: On Safety Analysis by Leashing Large Language Models [0.6699222582814232]
  「ハザード分析・リスクアセスメント」は、安全要件仕様の策定に欠かせないステップである。 本稿では,Large Language Models (LLMs) を用いた HARA の高度自動化を支援するフレームワークを提案する。
  論文  参考訳（メタデータ） (2024-03-14T16:56:52Z)
• Automated Security Findings Management: A Case Study in Industrial DevOps [3.7798600249187295]
  本稿では,産業用DevOpsプロジェクトにおけるセキュリティ発見の管理手法を提案する。 この手法の例として,セキュリティ発見の自動管理のための意味知識基盤であるSecurity Flamaを開発した。
  論文  参考訳（メタデータ） (2024-01-12T14:35:51Z)
• An Introduction to Adaptive Software Security [0.0]
  本稿では、MAPE-Kループとソフトウェア開発ライフサイクル(SDLC)を統合した革新的なアプローチを提案する。 開発全体を通じてセキュリティポリシを積極的に組み込んで,さまざまなレベルのソフトウェアエンジニアリングの脆弱性を低減します。
  論文  参考訳（メタデータ） (2023-12-28T20:53:11Z)
• Safeguarded Progress in Reinforcement Learning: Safe Bayesian Exploration for Control Policy Synthesis [63.532413807686524]
  本稿では、強化学習(RL)におけるトレーニング中の安全維持の問題に対処する。 探索中の効率的な進捗と安全性のトレードオフを扱う新しいアーキテクチャを提案する。
  論文  参考訳（メタデータ） (2023-12-18T16:09:43Z)
• Towards Safer Generative Language Models: A Survey on Safety Risks, Evaluations, and Improvements [76.80453043969209]
  本調査では,大規模モデルに関する安全研究の枠組みについて述べる。 まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。 トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
  論文  参考訳（メタデータ） (2023-02-18T09:32:55Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。