論文の概要: Why Johnny Signs with Next-Generation Tools: A Usability Case Study of Sigstore

• arxiv url: http://arxiv.org/abs/2503.00271v4
• Date: Wed, 04 Jun 2025 22:10:22 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-06 16:56:39.468087
• Title: Why Johnny Signs with Next-Generation Tools: A Usability Case Study of Sigstore
• Title（参考訳）: Johnnyが次世代ツールにサインする理由:Sigstoreのユーザビリティケーススタディ
• Authors: Kelechi G. Kalu, Sofia Okorafor, Tanmay Singla, Santiago Torres-Arias, James C. Davis,
• Abstract要約: ソフトウェア署名は、ソフトウェアサプライチェーン内のコンポーネントの完全性と信頼性を保証する最も堅牢な方法です。 従来の署名ツールは、キー管理とシグナ識別の負担を実践者に課し、セキュリティ上の脆弱性とユーザビリティの課題に繋がる。 Sigstoreのような次世代の署名ツールはこれらの懸念を自動化しているが、それらのユーザビリティと採用のダイナミクスについてはほとんど知られていない。
• 参考スコア（独自算出の注目度）: 5.433194344896805
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Software signing is the most robust method for ensuring the integrity and authenticity of components in a software supply chain. However, traditional signing tools place key management and signer identification burdens on practitioners, leading to both security vulnerabilities and usability challenges. Next-generation signing tools such as Sigstore have automated some of these concerns, but little is known about their usability and adoption dynamics. This knowledge gap hampers the integration of signing into the software engineering process. To fill this gap, we conducted a usability study of Sigstore, a pioneering and widely adopted exemplar in this space. Through 18 interviews, we explored (1) the factors practitioners consider when selecting a signing tool, (2) the problems and advantages associated with the tooling choices of practitioners, and (3) practitioners' signing-tool usage has evolved over time. Our findings illuminate the usability factors of next-generation signing tools and yield recommendations for toolmakers, including: (1) enhance integration flexibility through officially supported plugins and APIs, and (2) balance transparency with privacy by offering configurable logging options for enterprise use.
• Abstract（参考訳）: ソフトウェア署名は、ソフトウェアサプライチェーン内のコンポーネントの完全性と信頼性を保証する最も堅牢な方法です。 しかし、従来の署名ツールは、キー管理とシグナ識別を実践者に委ねており、セキュリティ上の脆弱性とユーザビリティ上の課題の両方をもたらしている。 Sigstoreのような次世代の署名ツールはこれらの懸念を自動化しているが、それらのユーザビリティと採用のダイナミクスについてはほとんど知られていない。 この知識ギャップは、ソフトウェアエンジニアリングプロセスへの署名の統合を妨げます。 このギャップを埋めるために,我々は先駆的かつ広く採用されているSigstoreのユーザビリティスタディを行った。 18回のインタビューを通じて,(1)署名ツールの選択において実践者が考慮する要因,(2)実践者のツール選択に伴う問題点とメリット,(3)署名ツールの使用方法の変遷について検討した。 1) 公式にサポートされているプラグインやAPIを通じて統合の柔軟性を高めること,(2) エンタープライズ向けの設定可能なロギングオプションを提供することで,プライバシと透明性のバランスをとること,などだ。

関連論文リスト

• QualiTagger: Automating software quality detection in issue trackers [4.917423556150366]
  この研究は、Transformerのような最先端のモデルを使って、テキストが通常、異なる品質特性に関連付けられているものを特定する。 また,オープンアクセス可能なソフトウェアリポジトリからのイシュートラッカにおける品質分布についても検討する。
  論文  参考訳（メタデータ） (2025-04-15T10:40:40Z)
• Sentiment Analysis Tools in Software Engineering: A Systematic Mapping Study [43.44042227196935]
  私たちは、特定の目的のために、開発者やステークホルダーが感情分析ツールを選択するのを助けることを目的としています。 本研究は,(1)アプリケーション領域,(2)目的,(3)使用済みデータセット,(4)感情分析ツール開発へのアプローチ,(5)既存のツールの利用,(6)研究者が直面する困難について,106の論文から得られた知見を要約したものである。
  論文  参考訳（メタデータ） (2025-02-11T19:02:25Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• From Literature to Practice: Exploring Fairness Testing Tools for the Software Industry Adoption [5.901307724130718]
  今日の世界では、AIシステムが公平で偏見のないものであることを保証する必要があります。 現在の公平性テストツールは、ソフトウェア開発者をサポートするために大幅な改善が必要である。 新しいツールは、ユーザーフレンドリで、ドキュメントがよく、さまざまな種類のデータを扱うのに十分な柔軟性を持つべきです。
  論文  参考訳（メタデータ） (2024-09-04T04:23:08Z)
• An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
  実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。 私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
  論文  参考訳（メタデータ） (2024-06-12T13:30:53Z)
• Efficacy of static analysis tools for software defect detection on open-source projects [0.0]
  この調査では、SonarQube、PMD、Checkstyle、FindBugsといった一般的な分析ツールを使って比較を行った。 その結果,SonarQubeの欠陥検出は,他のツールと比較してかなり優れていることがわかった。
  論文  参考訳（メタデータ） (2024-05-20T19:05:32Z)
• Charting a Path to Efficient Onboarding: The Role of Software Visualization [49.1574468325115]
  本研究は,ソフトウェアビジュアライゼーションツールを用いたマネージャ,リーダ,開発者の親しみやすさを探求することを目的としている。 本手法は, 質問紙調査と半構造化面接を用いて, 実践者から収集したデータの量的, 質的分析を取り入れた。
  論文  参考訳（メタデータ） (2024-01-17T21:30:45Z)
• Machine Learning Based Approach to Recommend MITRE ATT&CK Framework for Software Requirements and Design Specifications [0.0]
  セキュアなソフトウェアを開発するためには、ソフトウェアリポジトリをマイニングすることで、ソフトウェア開発者は攻撃者のように考える必要がある。 本稿では,機械学習アルゴリズムを用いて要求をMITRE ATT&CKデータベースにマッピングする。
  論文  参考訳（メタデータ） (2023-02-10T22:15:45Z)
• Lessons from Formally Verified Deployed Software Systems (Extended version) [65.69802414600832]
  本稿は、正式に認証されたシステムを作成し、実際に使用するためにデプロイした各種のアプリケーション分野のプロジェクトについて検討する。 使用する技術、適用の形式、得られた結果、そしてソフトウェア産業が形式的な検証技術やツールの恩恵を受ける能力について示すべき教訓を考察する。
  論文  参考訳（メタデータ） (2023-01-05T18:18:46Z)
• Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
  私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。 私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
  論文  参考訳（メタデータ） (2021-07-15T11:14:03Z)
• Machine Learning for Software Engineering: A Systematic Mapping [73.30245214374027]
  ソフトウェア開発業界は、現代のソフトウェアシステムを高度にインテリジェントで自己学習システムに移行するために、機械学習を急速に採用している。 ソフトウェアエンジニアリングライフサイクルの段階にわたって機械学習の採用について、現状を探求する包括的な研究は存在しない。 本研究は,機械学習によるソフトウェア工学(MLSE)分類を,ソフトウェア工学ライフサイクルのさまざまな段階に適用性に応じて,最先端の機械学習技術に分類するものである。
  論文  参考訳（メタデータ） (2020-05-27T11:56:56Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。