論文の概要: Why Johnny Signs with Sigstore: Examining Tooling as a Factor in Software Signing Adoption in the Sigstore Ecosystem

• arxiv url: http://arxiv.org/abs/2503.00271v2
• Date: Tue, 04 Mar 2025 19:55:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-06 12:09:37.796849
• Title: Why Johnny Signs with Sigstore: Examining Tooling as a Factor in Software Signing Adoption in the Sigstore Ecosystem
• Title（参考訳）: Johnny氏がSigstoreにサインする理由: Sigstoreエコシステムにおけるソフトウェア署名の要因としてのツールの検討
• Authors: Kelechi G. Kalu, Sofia Okorafor, Tanmay Singla, Santiago Torres-Arias, James C. Davis,
• Abstract要約: 我々は、現代的で広く採用されているソフトウェア署名ツールであるSigstoreの形式的ユーザビリティについて研究する。 ツールの選択に影響を与える要因について,13名 (13名) のセキュリティ実践者に対してインタビューを行った。
• 参考スコア（独自算出の注目度）: 5.433194344896805
• License:
• Abstract: The software supply chain security problem arises from integrating software components from several sources. The integrity of these components is ensured by the use of provenance tools, of which software signing is the strongest guarantee. While software signing has been recommended by regulation and industry consortia, practical adoption of software signing has been generally limited. While tooling has been recognized as a key factor influencing software signing adoption and quality by previous studies, most research has focused primarily on its user interface aspects, with little research on other usability considerations like tool selection, user challenges, software engineering process integration intricacies, etc. To understand how software tools influence the practice and adoption of software signing, we study the formative usability of Sigstore, a modern and widely adopted software signing tool. We interviewed thirteen (13) experienced security practitioners to study the factors that influence the selection of a tool, the problems associated with the use of such tools, how practitioners' software signing tools have evolved, and what drives this migration. To summarize our findings: (1) We highlight the various factors practitioners consider before adopting a software signing tool; (2) We highlight the problems and advantages associated with the current tooling choices of practitioners; and (3) We describe the evolution of tooling adoption of our sample population. Our findings provide the software signing tool development community with valuable insights to improve their design of software signing tools.
• Abstract（参考訳）: ソフトウェアサプライチェーンのセキュリティ問題は、ソフトウェアコンポーネントを複数のソースから統合することで生じる。 これらのコンポーネントの完全性は、ソフトウェア署名が最強の保証である証明ツールを使用することによって保証されます。 ソフトウェア署名は規制や業界コンソーシアムによって推奨されているが、ソフトウェア署名の実践的採用は一般的に限られている。 ツールは、ソフトウェア署名の採用と品質に影響を与える重要な要因と認識されているが、ほとんどの研究は、主にユーザインターフェースの側面に焦点を当てており、ツールの選択、ユーザチャレンジ、ソフトウェアエンジニアリングプロセス統合の複雑さなど、その他のユーザビリティに関する研究はほとんど行われていない。 ソフトウェアツールがソフトウェア署名の実践と導入にどのように影響するかを理解するために、我々は、現代的で広く採用されているソフトウェア署名ツールであるSigstoreの形式的ユーザビリティについて研究する。 13) 経験豊富なセキュリティ実践者を対象に,ツールの選択に影響を与える要因,そのようなツールの使用に伴う問題,実践者のソフトウェア署名ツールの進化,移行を促進する要因などについてインタビューした。 1)ソフトウェア署名ツールを採用する前に,実践者が考慮すべきさまざまな要因,(2)実践者の現在のツール選択に伴う問題点とアドバンテージ,(3)サンプル集団のツール導入の進展について述べる。 私たちの発見は、ソフトウェア署名ツールの開発コミュニティに、ソフトウェア署名ツールの設計を改善するための貴重な洞察を与えました。

関連論文リスト

• Sentiment Analysis Tools in Software Engineering: A Systematic Mapping Study [43.44042227196935]
  私たちは、特定の目的のために、開発者やステークホルダーが感情分析ツールを選択するのを助けることを目的としています。 本研究は,(1)アプリケーション領域,(2)目的,(3)使用済みデータセット,(4)感情分析ツール開発へのアプローチ,(5)既存のツールの利用,(6)研究者が直面する困難について,106の論文から得られた知見を要約したものである。
  論文  参考訳（メタデータ） (2025-02-11T19:02:25Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• From Literature to Practice: Exploring Fairness Testing Tools for the Software Industry Adoption [5.901307724130718]
  今日の世界では、AIシステムが公平で偏見のないものであることを保証する必要があります。 現在の公平性テストツールは、ソフトウェア開発者をサポートするために大幅な改善が必要である。 新しいツールは、ユーザーフレンドリで、ドキュメントがよく、さまざまな種類のデータを扱うのに十分な柔軟性を持つべきです。
  論文  参考訳（メタデータ） (2024-09-04T04:23:08Z)
• An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
  実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。 私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
  論文  参考訳（メタデータ） (2024-06-12T13:30:53Z)
• Efficacy of static analysis tools for software defect detection on open-source projects [0.0]
  この調査では、SonarQube、PMD、Checkstyle、FindBugsといった一般的な分析ツールを使って比較を行った。 その結果,SonarQubeの欠陥検出は,他のツールと比較してかなり優れていることがわかった。
  論文  参考訳（メタデータ） (2024-05-20T19:05:32Z)
• Charting a Path to Efficient Onboarding: The Role of Software Visualization [49.1574468325115]
  本研究は,ソフトウェアビジュアライゼーションツールを用いたマネージャ,リーダ,開発者の親しみやすさを探求することを目的としている。 本手法は, 質問紙調査と半構造化面接を用いて, 実践者から収集したデータの量的, 質的分析を取り入れた。
  論文  参考訳（メタデータ） (2024-01-17T21:30:45Z)
• Evaluation of software impact designed for biomedical research: Are we measuring what's meaningful? [17.645303073710732]
  使用状況と影響メトリクスの分析は、開発者がユーザとコミュニティのエンゲージメントを決定するのに役立つ。 これらの分析には、歪んだ、あるいは誤解を招くメトリクスを含む課題がある。 一部のツールは、小規模な聴衆には特に有益かもしれないが、魅力的な典型的な利用指標を持っていないかもしれない。
  論文  参考訳（メタデータ） (2023-06-05T21:15:05Z)
• Machine Learning Based Approach to Recommend MITRE ATT&CK Framework for Software Requirements and Design Specifications [0.0]
  セキュアなソフトウェアを開発するためには、ソフトウェアリポジトリをマイニングすることで、ソフトウェア開発者は攻撃者のように考える必要がある。 本稿では,機械学習アルゴリズムを用いて要求をMITRE ATT&CKデータベースにマッピングする。
  論文  参考訳（メタデータ） (2023-02-10T22:15:45Z)
• Lessons from Formally Verified Deployed Software Systems (Extended version) [65.69802414600832]
  本稿は、正式に認証されたシステムを作成し、実際に使用するためにデプロイした各種のアプリケーション分野のプロジェクトについて検討する。 使用する技術、適用の形式、得られた結果、そしてソフトウェア産業が形式的な検証技術やツールの恩恵を受ける能力について示すべき教訓を考察する。
  論文  参考訳（メタデータ） (2023-01-05T18:18:46Z)
• Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
  私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。 私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
  論文  参考訳（メタデータ） (2021-07-15T11:14:03Z)
• Machine Learning for Software Engineering: A Systematic Mapping [73.30245214374027]
  ソフトウェア開発業界は、現代のソフトウェアシステムを高度にインテリジェントで自己学習システムに移行するために、機械学習を急速に採用している。 ソフトウェアエンジニアリングライフサイクルの段階にわたって機械学習の採用について、現状を探求する包括的な研究は存在しない。 本研究は,機械学習によるソフトウェア工学(MLSE)分類を,ソフトウェア工学ライフサイクルのさまざまな段階に適用性に応じて,最先端の機械学習技術に分類するものである。
  論文  参考訳（メタデータ） (2020-05-27T11:56:56Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。