論文の概要: A Taxonomy of Functional Security Features and How They Can Be Located
- arxiv url: http://arxiv.org/abs/2501.04454v1
- Date: Wed, 08 Jan 2025 12:17:30 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-01-09 14:56:55.825447
- Title: A Taxonomy of Functional Security Features and How They Can Be Located
- Title(参考訳): 機能的セキュリティ機能の分類と配置方法
- Authors: Kevin Hermann, Simon Schneider, Catherine Tony, Asli Yardim, Sven Peldszus, Thorsten Berger, Riccardo Scandariato, M. Angela Sasse, Alena Naiakshina,
- Abstract要約: 本稿では,一般的なセキュリティフレームワークにおける文献のセキュリティ機能とそのカバレッジについて述べる。
我々は,広く使用されているセキュリティ標準へのマッピングを含む,68の機能的実装レベルのセキュリティ特徴の分類に貢献する。
- 参考スコア(独自算出の注目度): 12.003504134747951
- License:
- Abstract: Security must be considered in almost every software system. Unfortunately, selecting and implementing security features remains challenging due to the variety of security threats and possible countermeasures. While security standards are intended to help developers, they are usually too abstract and vague to help implement security features, or they merely help configure such. A resource that describes security features at an abstraction level between high-level (i.e., rather too general) and low-level (i.e., rather too specific) security standards could facilitate secure systems development. To realize security features, developers typically use external security frameworks, to minimize implementation mistakes. Even then, developers still make mistakes, often resulting in security vulnerabilities. When security incidents occur or the system needs to be audited or maintained, it is essential to know the implemented security features and, more importantly, where they are located. This task, commonly referred to as feature location, is often tedious and error-prone. Therefore, we have to support long-term tracking of implemented security features. We present a study of security features in the literature and their coverage in popular security frameworks. We contribute (1) a taxonomy of 68 functional implementation-level security features including a mapping to widely used security standards, (2) an examination of 21 popular security frameworks concerning which of these security features they provide, and (3) a discussion on the representation of security features in source code. Our taxonomy aims to aid developers in selecting appropriate security features and frameworks and relating them to security standards when they need to choose and implement security features for a software system.
- Abstract(参考訳): セキュリティは、ほぼすべてのソフトウェアシステムで考慮されなければならない。
残念なことに、セキュリティ機能の選択と実装は、さまざまなセキュリティ脅威と可能な対策のために、依然として困難である。
セキュリティ標準は開発者を支援することを意図しているが、通常、セキュリティ機能を実装するのに役立つには抽象的で曖昧すぎる。
高レベル(より一般的すぎる)と低レベル(より具体的すぎる)の間の抽象レベルでのセキュリティ機能を記述するリソースは、セキュアなシステム開発を促進する。
セキュリティ機能を実現するために、開発者は一般的に、実装ミスを最小限にするために外部セキュリティフレームワークを使用する。
それでも開発者は間違いを犯し、しばしばセキュリティ上の脆弱性が発生する。
セキュリティインシデントが発生したり、システムの監査やメンテナンスが必要な場合、実装されたセキュリティ機能や、より重要なのは、その所在を知ることが不可欠です。
このタスクは一般的にフィーチャーロケーションと呼ばれ、退屈でエラーを起こしやすいことが多い。
したがって,実装されたセキュリティ機能の長期追跡をサポートする必要がある。
本稿では,一般的なセキュリティフレームワークにおける文献のセキュリティ機能とそのカバレッジについて述べる。
本研究は,(1)広く使用されているセキュリティ標準へのマッピングを含む68種類の機能的実装レベルのセキュリティ機能の分類,(2)これらのセキュリティ機能のどれを提供するかに関する21の一般的なセキュリティフレームワークの検討,(3)ソースコードにおけるセキュリティ機能の表現に関する議論に貢献する。
私たちの分類学は、開発者が適切なセキュリティ機能やフレームワークを選択し、ソフトウェアシステムのセキュリティ機能を選択し実装する必要がある場合に、それらをセキュリティ標準に関連付けるのを支援することを目的としています。
関連論文リスト
- An Exploratory Study on the Engineering of Security Features [7.588468985212172]
ソフトウェアシステムのセキュリティ機能がどのように選択され、実際にエンジニアリングされるかを研究する。
収集した経験的データに基づいて、エンジニアリングプラクティスに関する洞察を提供します。
論文 参考訳(メタデータ) (2025-01-20T15:37:53Z) - Agent-SafetyBench: Evaluating the Safety of LLM Agents [72.92604341646691]
我々は,大規模言語モデル(LLM)の安全性を評価するための総合ベンチマークであるAgent-SafetyBenchを紹介する。
Agent-SafetyBenchは349のインタラクション環境と2,000のテストケースを含み、安全リスクの8つのカテゴリを評価し、安全でないインタラクションで頻繁に発生する10の一般的な障害モードをカバーする。
16 名の LLM エージェントを評価した結果,いずれのエージェントも 60% 以上の安全性スコアを達成できないことがわかった。
論文 参考訳(メタデータ) (2024-12-19T02:35:15Z) - Multimodal Situational Safety [73.63981779844916]
マルチモーダル・シチュエーション・セーフティ(Multimodal situational Safety)と呼ばれる新しい安全課題の評価と分析を行う。
MLLMが言語やアクションを通じても安全に応答するためには、言語クエリが対応する視覚的コンテキスト内での安全性への影響を評価する必要があることが多い。
我々は,現在のMLLMの状況安全性能を評価するためのマルチモーダル状況安全ベンチマーク(MSSBench)を開発した。
論文 参考訳(メタデータ) (2024-10-08T16:16:07Z) - Safe Inputs but Unsafe Output: Benchmarking Cross-modality Safety Alignment of Large Vision-Language Model [73.8765529028288]
我々は、モダリティ間の安全アライメントを評価するために、セーフインプットとアンセーフアウトプット(SIUO)と呼ばれる新しい安全アライメントの課題を導入する。
この問題を実証的に調査するため,我々はSIUOを作成した。SIUOは,自己修復,違法行為,プライバシー侵害など,9つの重要な安全領域を含むクロスモダリティベンチマークである。
以上の結果から, クローズドおよびオープンソース両方のLVLMの安全性上の重大な脆弱性が明らかとなり, 複雑で現実的なシナリオを確実に解釈し, 応答する上で, 現行モデルが不十分であることが示唆された。
論文 参考訳(メタデータ) (2024-06-21T16:14:15Z) - Towards Guaranteed Safe AI: A Framework for Ensuring Robust and Reliable AI Systems [88.80306881112313]
我々は、AI安全性に対する一連のアプローチを紹介し、定義する。
これらのアプローチの中核的な特徴は、高保証の定量的安全性保証を備えたAIシステムを作ることである。
これら3つのコアコンポーネントをそれぞれ作成するためのアプローチを概説し、主な技術的課題を説明し、それらに対する潜在的なソリューションをいくつか提案します。
論文 参考訳(メタデータ) (2024-05-10T17:38:32Z) - The Inner Workings of Windows Security [4.424739166856966]
2022年はMicrosoftの脆弱性が大幅に増加し、過去10年間で最高に達した。
このプロジェクトの目的は、Windows Operating Systemの脆弱性を調査し、主要なセキュリティ機能の有効性を検討することである。
本研究は,システムセキュリティを強化し,Windowsのセキュリティ機能による保護を強化するための緩和策を提案する。
論文 参考訳(メタデータ) (2023-12-23T03:35:57Z) - Investigate how developers and managers view security design in software [0.0]
私たちは7人の開発者と2人のマネージャのチームに対してインタビューを行い、彼は2つのチームで実際のソフトウェアプロダクトを開発しました。
我々は,マルウェアによる攻撃が成功した理由に関する彼らの見解を入手し,セキュリティに関して考慮すべき重要な側面について推奨した。
論文 参考訳(メタデータ) (2023-10-22T22:44:02Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - A Novel Approach to Identify Security Controls in Source Code [4.598579706242066]
本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。
最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
論文 参考訳(メタデータ) (2023-07-10T21:14:39Z) - Do Software Security Practices Yield Fewer Vulnerabilities? [6.6840472845873276]
本研究の目的は、専門家や研究者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。
4つのセキュリティプラクティスが、脆弱性数に影響を与える最も重要なプラクティスでした。
パッケージの総セキュリティスコアが増加するにつれて、報告された脆弱性の数は減少した。
論文 参考訳(メタデータ) (2022-10-20T20:04:02Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。