論文の概要: LightSC: The Making of a Usable Security Classification Tool for DevSecOps
- arxiv url: http://arxiv.org/abs/2410.01762v1
- Date: Wed, 2 Oct 2024 17:17:14 GMT
- ステータス: 処理完了
- システム内更新日: 2024-11-04 15:34:04.417095
- Title: LightSC: The Making of a Usable Security Classification Tool for DevSecOps
- Title(参考訳): LightSC: DevSecOps用の使用可能なセキュリティ分類ツールの作成
- Authors: Manish Shrestha, Christian Johansen, Johanna Johansen,
- Abstract要約: 我々は、emphDevOps対応のセキュリティ分類のための5つの原則を提案する。
次に、セキュリティ分類方法論をDevOps対応にする方法を例示します。
「このような作業は、使用可能なセキュリティコミュニティの中では新たなものと思われるので、我々のプロセスから一般的な3段階のレシピを抽出する。」
私たちのツールは(テスト対象者によって)設計フェーズでもっとも有用であるだけでなく、セキュリティクラスがソフトウェアの品質を評価するのに使用されるメトリクスの1つとなるテストフェーズでも有効であると認識されています。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: DevSecOps, as the extension of DevOps with security training and tools, has become a popular way of developing modern software, especially in the Internet of Things arena, due to its focus on rapid development, with short release cycles, involving the user/client very closely. Security classification methods, on the other hand, are heavy and slow processes that require high expertise in security, the same as in other similar areas such as risk analysis or certification. As such, security classification methods are hardly compatible with the DevSecOps culture, which to the contrary, has moved away from the traditional style of penetration testing done only when the software product is in the final stages or already deployed. In this work, we first propose five principles for a security classification to be \emph{DevOps-ready}, two of which will be the focus for the rest of the paper, namely to be tool-based and easy to use for non-security experts, such as ordinary developers or system architects. We then exemplify how one can make a security classification methodology DevOps-ready. We do this through an interaction design process, where we create and evaluate the usability of a tool implementing the chosen methodology. Since such work seems to be new within the usable security community, and even more so in the software development (DevOps) community, we extract from our process a general, three-steps `recipe' that others can follow when making their own security methodologies DevOps-ready. The tool that we build is in itself a contribution of this process, as it can be independently used, extended, and/or integrated by developer teams into their DevSecOps tool-chains. Our tool is perceived (by the test subjects) as most useful in the design phase, but also during the testing phase where the security class would be one of the metrics used to evaluate the quality of their software.
- Abstract(参考訳): セキュリティトレーニングとツールを備えたDevOpsの拡張であるDevSecOpsは、特にモノのインターネット(Internet of Things)領域において、ユーザ/クライアントが密接に関与する短いリリースサイクルで、迅速な開発に重点を置いているため、モダンなソフトウェアを開発する一般的な方法となっている。
一方、セキュリティ分類手法は、リスク分析や認証といった他の類似分野と同様、セキュリティに関する高度な専門知識を必要とする重く遅いプロセスである。
このように、セキュリティ分類手法はDevSecOps文化とはほとんど互換性がないが、それとは対照的に、ソフトウェア製品が最終段階にある場合やすでにデプロイされている場合のみに行われる従来の浸透テストスタイルから離れている。
本研究では,まず,セキュリティ分類が‘emph{DevOps-ready}’となるための5つの原則を提案する。
次に、セキュリティ分類方法論をDevOps対応にする方法を例示します。
このプロセスでは、選択した方法論を実装するツールのユーザビリティを作成し、評価します。
このような作業は、使用可能なセキュリティコミュニティの中では新しく、さらにソフトウェア開発(DevOps)コミュニティでは、私たちのプロセスから、独自のセキュリティ方法論をDevOps対応にする場合に、他の人が従うことのできる、一般的な3ステップの“レシピ”を抽出します。
私たちが構築するツールはそれ自体このプロセスのコントリビューションであり、開発者チームによってDevSecOpsツールチェーンに独立して使用、拡張、あるいは統合することができます。
私たちのツールは(テスト対象者によって)設計フェーズでもっとも有用であると考えられていますが、セキュリティクラスがソフトウェアの品質を評価するのに使用される指標の1つとなるテストフェーズでも役立ちます。
関連論文リスト
- SecCodePLT: A Unified Platform for Evaluating the Security of Code GenAI [47.11178028457252]
我々はGenAIのリスクをコードする統合的かつ包括的な評価プラットフォームSecCodePLTを開発した。
安全でないコードには、専門家と自動生成を組み合わせたデータ生成のための新しい方法論を導入する。
サイバー攻撃支援のために、我々はモデルに実際の攻撃を引き起こすよう促すサンプルと、我々の環境における動的な指標を構築した。
論文 参考訳(メタデータ) (2024-10-14T21:17:22Z) - Codev-Bench: How Do LLMs Understand Developer-Centric Code Completion? [60.84912551069379]
Code-Development Benchmark (Codev-Bench)は、細粒度で現実世界、リポジトリレベル、開発者中心の評価フレームワークです。
Codev-Agentは、リポジトリのクローリングを自動化し、実行環境を構築し、既存のユニットテストから動的呼び出しチェーンを抽出し、データ漏洩を避けるために新しいテストサンプルを生成するエージェントベースのシステムである。
論文 参考訳(メタデータ) (2024-10-02T09:11:10Z) - Hacking, The Lazy Way: LLM Augmented Pentesting [0.0]
Pentest Copilot"というツールを使って"LLM Augmented Pentesting"をデモする
私たちの研究には、トークン使用の合理化とパフォーマンス向上のための"思考の連鎖"メカニズムが含まれています。
LLMがファイルの理解を可能にする新しいファイル解析手法を提案する。
論文 参考訳(メタデータ) (2024-09-14T17:40:35Z) - Continuous risk assessment in secure DevOps [0.24475591916185502]
私たちは、組織内のリスク関連アクティビティとの関わりから、セキュアなDevOpsが利益を得られるかについて論じています。
我々は、リスクアセスメント(RA)、特に脅威モデリング(TM)を組み合わせることに集中し、ソフトウェアライフサイクルの早期にセキュリティ上の配慮を適用します。
論文 参考訳(メタデータ) (2024-09-05T10:42:27Z) - AI for DevSecOps: A Landscape and Future Opportunities [6.513361705307775]
DevSecOpsは、最も急速に進化するソフトウェア開発パラダイムの1つだ。
ソフトウェアシステムのセキュリティに関する懸念が高まっているため、DevSecOpsパラダイムが注目されている。
DevOpsワークフローにセキュリティを統合することは、アジリティに影響を与え、デリバリ速度を妨げます。
論文 参考訳(メタデータ) (2024-04-07T07:24:58Z) - Teaching DevOps Security Education with Hands-on Labware: Automated Detection of Security Weakness in Python [4.280051038571455]
我々は、学習者が既知のセキュリティの弱点を識別できるハンズオン学習モジュールを導入した。
エンゲージメントとモチベーションのある学習環境を育むために、私たちのハンズオンアプローチには、プレラブ、ハンズオン、ポストラボセクションが含まれています。
論文 参考訳(メタデータ) (2023-08-14T16:09:05Z) - Evaluating Model-free Reinforcement Learning toward Safety-critical
Tasks [70.76757529955577]
本稿では、国家安全RLの観点から、この領域における先行研究を再考する。
安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。
この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
論文 参考訳(メタデータ) (2022-12-12T06:30:17Z) - Semantic Similarity-Based Clustering of Findings From Security Testing
Tools [1.6058099298620423]
特に、複数の観点からソフトウェアアーチファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的である。
これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。
本研究では,意味論的に類似したセキュリティ発見のクラスタリングに自然言語処理を適用する可能性について検討した。
論文 参考訳(メタデータ) (2022-11-20T19:03:19Z) - Realistic simulation of users for IT systems in cyber ranges [63.20765930558542]
ユーザアクティビティを生成するために,外部エージェントを用いて各マシンを計測する。
このエージェントは、決定論的および深層学習に基づく手法を組み合わせて、異なる環境に適応する。
また,会話や文書の作成を容易にする条件付きテキスト生成モデルを提案する。
論文 参考訳(メタデータ) (2021-11-23T10:53:29Z) - Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。
私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
論文 参考訳(メタデータ) (2021-07-15T11:14:03Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。