論文の概要: Why Johnny Signs with Next-Generation Tools: A Usability Case Study of Sigstore
- arxiv url: http://arxiv.org/abs/2503.00271v4
- Date: Wed, 04 Jun 2025 22:10:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-06-06 16:56:39.468087
- Title: Why Johnny Signs with Next-Generation Tools: A Usability Case Study of Sigstore
- Title(参考訳): Johnnyが次世代ツールにサインする理由:Sigstoreのユーザビリティケーススタディ
- Authors: Kelechi G. Kalu, Sofia Okorafor, Tanmay Singla, Santiago Torres-Arias, James C. Davis,
- Abstract要約: ソフトウェア署名は、ソフトウェアサプライチェーン内のコンポーネントの完全性と信頼性を保証する最も堅牢な方法です。
従来の署名ツールは、キー管理とシグナ識別の負担を実践者に課し、セキュリティ上の脆弱性とユーザビリティの課題に繋がる。
Sigstoreのような次世代の署名ツールはこれらの懸念を自動化しているが、それらのユーザビリティと採用のダイナミクスについてはほとんど知られていない。
- 参考スコア(独自算出の注目度): 5.433194344896805
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Software signing is the most robust method for ensuring the integrity and authenticity of components in a software supply chain. However, traditional signing tools place key management and signer identification burdens on practitioners, leading to both security vulnerabilities and usability challenges. Next-generation signing tools such as Sigstore have automated some of these concerns, but little is known about their usability and adoption dynamics. This knowledge gap hampers the integration of signing into the software engineering process. To fill this gap, we conducted a usability study of Sigstore, a pioneering and widely adopted exemplar in this space. Through 18 interviews, we explored (1) the factors practitioners consider when selecting a signing tool, (2) the problems and advantages associated with the tooling choices of practitioners, and (3) practitioners' signing-tool usage has evolved over time. Our findings illuminate the usability factors of next-generation signing tools and yield recommendations for toolmakers, including: (1) enhance integration flexibility through officially supported plugins and APIs, and (2) balance transparency with privacy by offering configurable logging options for enterprise use.
- Abstract(参考訳): ソフトウェア署名は、ソフトウェアサプライチェーン内のコンポーネントの完全性と信頼性を保証する最も堅牢な方法です。
しかし、従来の署名ツールは、キー管理とシグナ識別を実践者に委ねており、セキュリティ上の脆弱性とユーザビリティ上の課題の両方をもたらしている。
Sigstoreのような次世代の署名ツールはこれらの懸念を自動化しているが、それらのユーザビリティと採用のダイナミクスについてはほとんど知られていない。
この知識ギャップは、ソフトウェアエンジニアリングプロセスへの署名の統合を妨げます。
このギャップを埋めるために,我々は先駆的かつ広く採用されているSigstoreのユーザビリティスタディを行った。
18回のインタビューを通じて,(1)署名ツールの選択において実践者が考慮する要因,(2)実践者のツール選択に伴う問題点とメリット,(3)署名ツールの使用方法の変遷について検討した。
1) 公式にサポートされているプラグインやAPIを通じて統合の柔軟性を高めること,(2) エンタープライズ向けの設定可能なロギングオプションを提供することで,プライバシと透明性のバランスをとること,などだ。
関連論文リスト
- Training Language Models to Generate Quality Code with Program Analysis Feedback [66.0854002147103]
大規模言語モデル(LLM)によるコード生成は、ますます本番環境で採用されているが、コード品質の保証には失敗している。
実運用品質のコードを生成するためにLLMにインセンティブを与える強化学習フレームワークであるREALを提案する。
論文 参考訳(メタデータ) (2025-05-28T17:57:47Z) - Securing GenAI Multi-Agent Systems Against Tool Squatting: A Zero Trust Registry-Based Approach [0.0]
本稿では,新たな相互運用性標準の文脈におけるツールしゃがみ込みの脅威を解析する。
これらのリスクを軽減するために設計された総合的なツールレジストリシステムを導入している。
その設計原則に基づいて、提案されたレジストリフレームワークは、一般的なツールしゃがみベクトルを効果的に防止することを目的としている。
論文 参考訳(メタデータ) (2025-04-28T16:22:21Z) - QualiTagger: Automating software quality detection in issue trackers [4.917423556150366]
この研究は、Transformerのような最先端のモデルを使って、テキストが通常、異なる品質特性に関連付けられているものを特定する。
また,オープンアクセス可能なソフトウェアリポジトリからのイシュートラッカにおける品質分布についても検討する。
論文 参考訳(メタデータ) (2025-04-15T10:40:40Z) - Sentiment Analysis Tools in Software Engineering: A Systematic Mapping Study [43.44042227196935]
私たちは、特定の目的のために、開発者やステークホルダーが感情分析ツールを選択するのを助けることを目的としています。
本研究は,(1)アプリケーション領域,(2)目的,(3)使用済みデータセット,(4)感情分析ツール開発へのアプローチ,(5)既存のツールの利用,(6)研究者が直面する困難について,106の論文から得られた知見を要約したものである。
論文 参考訳(メタデータ) (2025-02-11T19:02:25Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - From Literature to Practice: Exploring Fairness Testing Tools for the Software Industry Adoption [5.901307724130718]
今日の世界では、AIシステムが公平で偏見のないものであることを保証する必要があります。
現在の公平性テストツールは、ソフトウェア開発者をサポートするために大幅な改善が必要である。
新しいツールは、ユーザーフレンドリで、ドキュメントがよく、さまざまな種類のデータを扱うのに十分な柔軟性を持つべきです。
論文 参考訳(メタデータ) (2024-09-04T04:23:08Z) - DiVerify: Diversifying Identity Verification in Next-Generation Software Signing [6.367742522528132]
コード署名は、ソフトウェア開発者が暗号化キーを使用してデジタル署名することで、コードをアイデンティティに関連付けることを可能にする。
SigstoreやOpenPubKeyといった次世代ソフトウェア署名は、署名者のIDを公開キーにリンクする合理化メカニズムを提供することで、コードの署名を単純化する。
本稿では、しきい値の正当性検証とスコープ機構を活用することにより、次世代ソフトウェア署名のセキュリティ保証を強化するDiverse Identity Verification(DiVerify)方式を提案する。
論文 参考訳(メタデータ) (2024-06-21T18:53:52Z) - An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。
私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
論文 参考訳(メタデータ) (2024-06-12T13:30:53Z) - Efficacy of static analysis tools for software defect detection on open-source projects [0.0]
この調査では、SonarQube、PMD、Checkstyle、FindBugsといった一般的な分析ツールを使って比較を行った。
その結果,SonarQubeの欠陥検出は,他のツールと比較してかなり優れていることがわかった。
論文 参考訳(メタデータ) (2024-05-20T19:05:32Z) - SWE-agent: Agent-Computer Interfaces Enable Automated Software Engineering [79.07755560048388]
SWEエージェント(SWE-agent)は、LMエージェントが自律的にコンピュータを使用してソフトウェア工学のタスクを解決するシステムである。
SWEエージェントのカスタムエージェントコンピュータインタフェース(ACI)は、エージェントがコードファイルを作成し編集し、リポジトリ全体をナビゲートし、テストやその他のプログラムを実行する能力を著しく向上させる。
我々はSWE-benchとHumanEvalFixのSWE-agentを評価し、それぞれ12.5%と87.7%のパス@1レートで最先端の性能を実現した。
論文 参考訳(メタデータ) (2024-05-06T17:41:33Z) - TOOLVERIFIER: Generalization to New Tools via Self-Verification [69.85190990517184]
本稿では,ツール選択中にコントラスト質問を自己問合せすることで,近接候補を識別する自己検証手法を提案する。
ToolBenchベンチマークによる4つのタスクの実験では、17の見えないツールで構成されており、数ショットのベースラインよりも平均22%改善されている。
論文 参考訳(メタデータ) (2024-02-21T22:41:38Z) - Signing in Four Public Software Package Registries: Quantity, Quality, and Influencing Factors [4.944550691418216]
パッケージメンテナは、ソフトウェア署名を通じてパッケージオーサシップを保証できる。
この慣習がどの程度一般的か、結果のシグネチャが適切に作成されるかどうかは不明である。
論文 参考訳(メタデータ) (2024-01-26T03:55:36Z) - Charting a Path to Efficient Onboarding: The Role of Software
Visualization [49.1574468325115]
本研究は,ソフトウェアビジュアライゼーションツールを用いたマネージャ,リーダ,開発者の親しみやすさを探求することを目的としている。
本手法は, 質問紙調査と半構造化面接を用いて, 実践者から収集したデータの量的, 質的分析を取り入れた。
論文 参考訳(メタデータ) (2024-01-17T21:30:45Z) - Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - Machine Learning Based Approach to Recommend MITRE ATT&CK Framework for
Software Requirements and Design Specifications [0.0]
セキュアなソフトウェアを開発するためには、ソフトウェアリポジトリをマイニングすることで、ソフトウェア開発者は攻撃者のように考える必要がある。
本稿では,機械学習アルゴリズムを用いて要求をMITRE ATT&CKデータベースにマッピングする。
論文 参考訳(メタデータ) (2023-02-10T22:15:45Z) - Lessons from Formally Verified Deployed Software Systems (Extended version) [65.69802414600832]
本稿は、正式に認証されたシステムを作成し、実際に使用するためにデプロイした各種のアプリケーション分野のプロジェクトについて検討する。
使用する技術、適用の形式、得られた結果、そしてソフトウェア産業が形式的な検証技術やツールの恩恵を受ける能力について示すべき教訓を考察する。
論文 参考訳(メタデータ) (2023-01-05T18:18:46Z) - Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。
私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
論文 参考訳(メタデータ) (2021-07-15T11:14:03Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z) - Machine Learning for Software Engineering: A Systematic Mapping [73.30245214374027]
ソフトウェア開発業界は、現代のソフトウェアシステムを高度にインテリジェントで自己学習システムに移行するために、機械学習を急速に採用している。
ソフトウェアエンジニアリングライフサイクルの段階にわたって機械学習の採用について、現状を探求する包括的な研究は存在しない。
本研究は,機械学習によるソフトウェア工学(MLSE)分類を,ソフトウェア工学ライフサイクルのさまざまな段階に適用性に応じて,最先端の機械学習技術に分類するものである。
論文 参考訳(メタデータ) (2020-05-27T11:56:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。