論文の概要: Integrating DAST in Kanban and CI/CD: A Real World Security Case Study

• arxiv url: http://arxiv.org/abs/2503.21947v1
• Date: Thu, 27 Mar 2025 19:46:05 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-31 15:32:12.822006
• Title: Integrating DAST in Kanban and CI/CD: A Real World Security Case Study
• Title（参考訳）: DASTをかんばんとCI/CDに統合する - 現実のセキュリティケーススタディ
• Authors: Arpit Thool, Chris Brown,
• Abstract要約: Webアプリケーションの攻撃と悪用された脆弱性が増加している。 現代の開発プラクティスにセキュリティを統合することがますます重要になっている。 現代の開発プラクティスでセキュリティプラクティスやアクティビティを採用するのは難しいです。
• 参考スコア（独自算出の注目度）: 2.3480418671346164
• License:
• Abstract: Modern development methodologies, such as Kanban and continuous integration and continuous deployment (CI/CD), are critical for web application development -- as software products must adapt to changing requirements and deploy products to users quickly. As web application attacks and exploited vulnerabilities are rising, it is increasingly crucial to integrate security into modern development practices. Yet, the iterative and incremental nature of these processes can clash with the sequential nature of security engineering. Thus, it is challenging to adopt security practices and activities in modern development practices. Dynamic Application Security Testing (DAST) is a security practice within software development frameworks that bolsters system security. This study delves into the intersection of Agile development and DAST, exploring how a software organization attempted to integrate DAST into their Kanban workflows and CI/CD pipelines to identify and mitigate security vulnerabilities within the development process. Through an action research case study incorporating interviews among team members, this research elucidates the challenges, mitigation techniques, and best practices associated with incorporating DAST into Agile methodologies from developers' perspectives. We provide insights into integrating security practices with modern development, ensuring both speed and security in software delivery.
• Abstract（参考訳）: かんばんや継続的統合、継続的デプロイメント(CI/CD)といったモダンな開発方法論は、Webアプリケーション開発に不可欠です。 Webアプリケーションの攻撃や脆弱性の悪用が増えている中、セキュリティを現代的な開発プラクティスに統合することがますます重要になっている。 しかし、これらのプロセスの反復的で漸進的な性質は、セキュリティエンジニアリングのシーケンシャルな性質と衝突する可能性がある。 したがって、現代の開発プラクティスにおいて、セキュリティプラクティスやアクティビティを採用することは困難である。 動的アプリケーションセキュリティテスト(DAST)は、システムセキュリティを強化するソフトウェア開発フレームワーク内のセキュリティプラクティスである。 この研究は、アジャイル開発とDASTの交差点を掘り下げ、ソフトウェア組織がDASTをかんばんワークフローとCI/CDパイプラインに統合して、開発プロセス内のセキュリティ脆弱性を特定し、軽減しようとした方法を探った。 チームメンバー間のインタビューを取り入れたアクションリサーチケーススタディを通じて、開発者の視点から、DASTをアジャイル方法論に組み込む際の課題、緩和テクニック、ベストプラクティスを解明する。 ソフトウェアデリバリにおけるスピードとセキュリティの両面を確実にするため、セキュリティプラクティスを現代的な開発に統合するための洞察を提供する。

関連論文リスト

• In-Context Experience Replay Facilitates Safety Red-Teaming of Text-to-Image Diffusion Models [104.94706600050557]
  テキスト・ツー・イメージ(T2I)モデルは目覚ましい進歩を見せているが、有害なコンテンツを生成する可能性はまだMLコミュニティにとって重要な関心事である。 ICERは,解釈可能かつ意味論的に意味のある重要なプロンプトを生成する新しい赤チームフレームワークである。 我々の研究は、より堅牢な安全メカニズムをT2Iシステムで開発するための重要な洞察を提供する。
  論文  参考訳（メタデータ） (2024-11-25T04:17:24Z)
• Enhancing Enterprise Security with Zero Trust Architecture [0.0]
  Zero Trust Architecture (ZTA) は、現代のサイバーセキュリティに対する変革的なアプローチである。 ZTAは、ユーザ、デバイス、システムがデフォルトで信頼できないことを前提として、セキュリティパラダイムをシフトする。 本稿では、アイデンティティとアクセス管理(IAM)、マイクロセグメンテーション、継続的監視、行動分析など、ZTAの重要なコンポーネントについて検討する。
  論文  参考訳（メタデータ） (2024-10-23T21:53:16Z)
• ActSafe: Active Exploration with Safety Constraints for Reinforcement Learning [48.536695794883826]
  本稿では,安全かつ効率的な探索のためのモデルベースRLアルゴリズムであるActSafeを提案する。 本稿では,ActSafeが学習中の安全性を保証しつつ,有限時間で準最適政策を得ることを示す。 さらに,最新のモデルベースRLの進歩に基づくActSafeの実用版を提案する。
  論文  参考訳（メタデータ） (2024-10-12T10:46:02Z)
• LightSC: The Making of a Usable Security Classification Tool for DevSecOps [0.0]
  我々は、emphDevOps対応のセキュリティ分類のための5つの原則を提案する。 次に、セキュリティ分類方法論をDevOps対応にする方法を例示します。 「このような作業は、使用可能なセキュリティコミュニティの中では新たなものと思われるので、我々のプロセスから一般的な3段階のレシピを抽出する。」 私たちのツールは(テスト対象者によって)設計フェーズでもっとも有用であるだけでなく、セキュリティクラスがソフトウェアの品質を評価するのに使用されるメトリクスの1つとなるテストフェーズでも有効であると認識されています。
  論文  参考訳（メタデータ） (2024-10-02T17:17:14Z)
• Continuous risk assessment in secure DevOps [0.24475591916185502]
  私たちは、組織内のリスク関連アクティビティとの関わりから、セキュアなDevOpsが利益を得られるかについて論じています。 我々は、リスクアセスメント(RA)、特に脅威モデリング(TM)を組み合わせることに集中し、ソフトウェアライフサイクルの早期にセキュリティ上の配慮を適用します。
  論文  参考訳（メタデータ） (2024-09-05T10:42:27Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• An Introduction to Adaptive Software Security [0.0]
  本稿では、MAPE-Kループとソフトウェア開発ライフサイクル(SDLC)を統合した革新的なアプローチを提案する。 開発全体を通じてセキュリティポリシを積極的に組み込んで,さまざまなレベルのソフトウェアエンジニアリングの脆弱性を低減します。
  論文  参考訳（メタデータ） (2023-12-28T20:53:11Z)
• Software Repositories and Machine Learning Research in Cyber Security [0.0]
  堅牢なサイバーセキュリティ防衛の統合は、ソフトウェア開発のあらゆる段階において不可欠になっている。 ソフトウェア要件プロセスにおけるこれらの初期段階の脆弱性の検出にトピックモデリングと機械学習を活用する試みが実施されている。
  論文  参考訳（メタデータ） (2023-11-01T17:46:07Z)
• Leveraging Traceability to Integrate Safety Analysis Artifacts into the Software Development Process [51.42800587382228]
  安全保証ケース(SAC)は、システムの進化中に維持することが困難である。 本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。 安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
  論文  参考訳（メタデータ） (2023-07-14T16:03:27Z)
• Towards Safer Generative Language Models: A Survey on Safety Risks, Evaluations, and Improvements [76.80453043969209]
  本調査では,大規模モデルに関する安全研究の枠組みについて述べる。 まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。 トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
  論文  参考訳（メタデータ） (2023-02-18T09:32:55Z)
• Technology Readiness Levels for Machine Learning Systems [107.56979560568232]
  機械学習システムの開発とデプロイは、現代のツールで簡単に実行できますが、プロセスは一般的に急ぎ、エンドツーエンドです。 私たちは、機械学習の開発と展開のための実証済みのシステムエンジニアリングアプローチを開発しました。 当社の「機械学習技術準備レベル」フレームワークは、堅牢で信頼性が高く、責任あるシステムを確保するための原則的なプロセスを定義します。
  論文  参考訳（メタデータ） (2021-01-11T15:54:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。