論文の概要: Advancing DevSecOps in SMEs: Challenges and Best Practices for Secure CI/CD Pipelines

• arxiv url: http://arxiv.org/abs/2503.22612v1
• Date: Fri, 28 Mar 2025 16:55:41 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-31 15:33:04.202808
• Title: Advancing DevSecOps in SMEs: Challenges and Best Practices for Secure CI/CD Pipelines
• Title（参考訳）: 中小企業におけるDevSecOpsの活用 - セキュアCI/CDパイプラインの課題とベストプラクティス
• Authors: Jayaprakashreddy Cheenepalli, John D. Hastings, Khandaker Mamun Ahmed, Chad Fenner,
• Abstract要約: 本研究では中小企業におけるDevSecOpsの導入状況について検討する。 68%がDevSecOpsを実装しているが、採用は技術的複雑さ(41%)、リソース制約(35%)、文化的抵抗(38%)によって妨げられている。 今後、中小企業はAIと機械学習がDevSecOpsに大きな影響を与えることを期待している。
• 参考スコア（独自算出の注目度）: 0.0
• License:
• Abstract: This study evaluates the adoption of DevSecOps among small and medium-sized enterprises (SMEs), identifying key challenges, best practices, and future trends. Through a mixed methods approach backed by the Technology Acceptance Model (TAM) and Diffusion of Innovations (DOI) theory, we analyzed survey data from 405 SME professionals, revealing that while 68% have implemented DevSecOps, adoption is hindered by technical complexity (41%), resource constraints (35%), and cultural resistance (38%). Despite strong leadership prioritization of security (73%), automation gaps persist, with only 12% of organizations conducting security scans per commit. Our findings highlight a growing integration of security tools, particularly API security (63%) and software composition analysis (62%), although container security adoption remains low (34%). Looking ahead, SMEs anticipate artificial intelligence and machine learning to significantly influence DevSecOps, underscoring the need for proactive adoption of AI-driven security enhancements. Based on our findings, this research proposes strategic best practices to enhance CI/CD pipeline security including automation, leadership-driven security culture, and cross-team collaboration.
• Abstract（参考訳）: 本研究では、中小企業(中小企業)におけるDevSecOpsの採用を評価し、重要な課題、ベストプラクティス、今後のトレンドを特定する。 技術受容モデル(TAM)とDiffusion of Innovations(DOI)理論を背景とした混合手法のアプローチを通じて,405人の中小企業専門家による調査データを分析し,68%がDevSecOpsを実装しているが,採用は技術的複雑性(41%),リソース制約(35%),文化的抵抗(38%)によって妨げられていることを明らかにした。 セキュリティの強いリーダシップ優先(73%)にもかかわらず、自動化のギャップは持続しており、コミット毎にセキュリティスキャンを行う組織はわずか12%である。 私たちの調査では,セキュリティツール,特にAPIセキュリティ(63%)とソフトウェアコンポジション分析(62%)の統合の増加が注目されていますが,コンテナセキュリティの採用率は低い(34%)。 今後、中小企業はAIと機械学習がDevSecOpsに大きな影響を与えることを期待しており、AIによるセキュリティ強化を積極的に導入する必要があることを強調している。 今回の調査では,自動化やリーダシップ駆動型セキュリティ文化,チーム間のコラボレーションなど,CI/CDパイプラインのセキュリティ向上のための戦略的ベストプラクティスを提案する。

関連論文リスト

• SoK: Understanding Vulnerabilities in the Large Language Model Supply Chain [8.581429744090316]
  この研究は、13のライフサイクルステージにまたがる75の著名なプロジェクトにわたって報告された529の脆弱性を体系的に分析する。 その結果、脆弱性はアプリケーション(50.3%)とモデル(42.7%)に集中していることがわかった。 脆弱性の56.7%が修正されているが、これらのパッチの8%は効果がなく、繰り返し脆弱性が発生する。
  論文  参考訳（メタデータ） (2025-02-18T03:22:38Z)
• Quantifying Security Vulnerabilities: A Metric-Driven Security Analysis of Gaps in Current AI Standards [5.388550452190688]
  本稿では、NIST AI RMF 1.0、英国のAIおよびデータ保護リスクツールキット、EUのALTAIの3つの主要なAIガバナンス標準におけるセキュリティリスクの監査と定量化を行う。 新しいリスク評価手法を用いて、リスク重大度指数(RSI)、アタックポテンシャル指数(AVPI)、コンプライアンス・セキュリティギャップパーセンテージ(CSGP)、ルート原因脆弱性スコア(RCVS)の4つの主要な指標を開発する。
  論文  参考訳（メタデータ） (2025-02-12T17:57:54Z)
• Human Decision-making is Susceptible to AI-driven Manipulation [87.24007555151452]
  AIシステムは、ユーザの認知バイアスと感情的な脆弱性を利用して、有害な結果に向けてそれらを操縦する。 本研究では、経済的・感情的な意思決定の文脈におけるこのような操作に対する人間の感受性について検討した。
  論文  参考訳（メタデータ） (2025-02-11T15:56:22Z)
• Streamlining Security Vulnerability Triage with Large Language Models [0.786186571320448]
  セキュリティバグの共通弱さ(CWE)の同定を自動化し,その重症度を評価する新しいアプローチであるCASEYを提案する。 ケーシーはCWE識別精度68%、重度識別精度73.6%、組み合わせ精度51.2%を達成した。
  論文  参考訳（メタデータ） (2025-01-31T06:02:24Z)
• Agent-SafetyBench: Evaluating the Safety of LLM Agents [72.92604341646691]
  我々は,大規模言語モデル(LLM)の安全性を評価するための総合ベンチマークであるAgent-SafetyBenchを紹介する。 Agent-SafetyBenchは349のインタラクション環境と2,000のテストケースを含み、安全リスクの8つのカテゴリを評価し、安全でないインタラクションで頻繁に発生する10の一般的な障害モードをカバーする。 16 名の LLM エージェントを評価した結果,いずれのエージェントも 60% 以上の安全性スコアを達成できないことがわかった。
  論文  参考訳（メタデータ） (2024-12-19T02:35:15Z)
• Enhancing Enterprise Security with Zero Trust Architecture [0.0]
  Zero Trust Architecture (ZTA) は、現代のサイバーセキュリティに対する変革的なアプローチである。 ZTAは、ユーザ、デバイス、システムがデフォルトで信頼できないことを前提として、セキュリティパラダイムをシフトする。 本稿では、アイデンティティとアクセス管理(IAM)、マイクロセグメンテーション、継続的監視、行動分析など、ZTAの重要なコンポーネントについて検討する。
  論文  参考訳（メタデータ） (2024-10-23T21:53:16Z)
• EARBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [53.717918131568936]
  EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。 高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。 しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。 本研究では,EAIシナリオにおける身体的リスクの自動評価のための新しいフレームワークEARBenchを紹介する。
  論文  参考訳（メタデータ） (2024-08-08T13:19:37Z)
• AI for DevSecOps: A Landscape and Future Opportunities [6.513361705307775]
  DevSecOpsは、最も急速に進化するソフトウェア開発パラダイムの1つだ。 ソフトウェアシステムのセキュリティに関する懸念が高まっているため、DevSecOpsパラダイムが注目されている。 DevOpsワークフローにセキュリティを統合することは、アジリティに影響を与え、デリバリ速度を妨げます。
  論文  参考訳（メタデータ） (2024-04-07T07:24:58Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• The Security and Privacy of Mobile Edge Computing: An Artificial Intelligence Perspective [64.36680481458868]
  Mobile Edge Computing (MEC)は、クラウドコンピューティングと情報技術(IT)サービスをネットワークのエッジで配信できるようにする新しいコンピューティングパラダイムである。 本稿では,人工知能(AI)の観点からMECのセキュリティとプライバシに関する調査を行う。 新たなセキュリティとプライバシの問題に加えて、AIの観点からの潜在的なソリューションにも重点を置いています。
  論文  参考訳（メタデータ） (2024-01-03T07:47:22Z)
• Safeguarded Progress in Reinforcement Learning: Safe Bayesian Exploration for Control Policy Synthesis [63.532413807686524]
  本稿では、強化学習(RL)におけるトレーニング中の安全維持の問題に対処する。 探索中の効率的な進捗と安全性のトレードオフを扱う新しいアーキテクチャを提案する。
  論文  参考訳（メタデータ） (2023-12-18T16:09:43Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。