論文の概要: Realigning Incentives to Build Better Software: a Holistic Approach to Vendor Accountability
- arxiv url: http://arxiv.org/abs/2504.07766v1
- Date: Thu, 10 Apr 2025 14:05:24 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-11 12:22:57.386057
- Title: Realigning Incentives to Build Better Software: a Holistic Approach to Vendor Accountability
- Title(参考訳): より良いソフトウェアを構築するためのインセンティブの実現: ベンダの説明責任に対する全体論的なアプローチ
- Authors: Gergely Biczók, Sasha Romanosky, Mingyan Liu,
- Abstract要約: より良い品質のソフトウェアに関する課題は、不整合したインセンティブの連続による小さな部分によるものではない、と私たちは主張する。
責任の欠如は、ソフトウェアベンダがあらゆるインセンティブを持って、低品質のソフトウェアを市場に投入することを意味する。
この記事では、より良い、よりセキュアなソフトウェア開発にインセンティブを与えるために必要な、総合的な技術とポリシーのフレームワークを概説する。
- 参考スコア(独自算出の注目度): 7.627207028377776
- License:
- Abstract: In this paper, we ask the question of why the quality of commercial software, in terms of security and safety, does not measure up to that of other (durable) consumer goods we have come to expect. We examine this question through the lens of incentives. We argue that the challenge around better quality software is due in no small part to a sequence of misaligned incentives, the most critical of which being that the harm caused by software problems is by and large shouldered by consumers, not developers. This lack of liability means software vendors have every incentive to rush low-quality software onto the market and no incentive to enhance quality control. Within this context, this paper outlines a holistic technical and policy framework we believe is needed to incentivize better and more secure software development. At the heart of the incentive realignment is the concept of software liability. This framework touches on various components, including legal, technical, and financial, that are needed for software liability to work in practice; some currently exist, some will need to be re-imagined or established. This is primarily a market-driven approach that emphasizes voluntary participation but highlights the role appropriate regulation can play. We connect and contrast this with the EU legal environment and discuss what this framework means for open-source software (OSS) development and emerging AI risks. Moreover, we present a CrowdStrike case study complete with a what-if analysis had our proposed framework been in effect. Our intention is very much to stimulate a robust conversation among both researchers and practitioners.
- Abstract(参考訳): 本稿では,商用ソフトウェアの品質が,セキュリティや安全性の観点からも,私たちが期待している他の(耐久性の高い)消費者製品と同等ではないのか,という疑問を提起する。
我々はこの問題をインセンティブのレンズを通して調べる。
ソフトウェアの問題に起因する害は、開発者ではなく、消費者が負担するものであり、大きいものであるという点において、よりよい品質のソフトウェアに関する課題は、不一致のインセンティブの連続による小さな部分ではない、と我々は主張する。
この負債の欠如は、ソフトウェアベンダが低品質のソフトウェアを市場に投入するインセンティブを持ち、品質管理を強化するインセンティブがないことを意味します。
この文脈の中で、この記事では、より良い、よりセキュアなソフトウェア開発をインセンティブ化するために必要な、総合的な技術とポリシーのフレームワークの概要を述べる。
インセンティブの意識の中心は、ソフトウェア責任の概念です。
このフレームワークは、ソフトウェア責任が実際に機能するために必要とされる法的、技術的、財務的要素など、さまざまなコンポーネントに触れている。
これは主に市場主導のアプローチであり、自発的な参加を強調するが、適切な規制が果たす役割を強調している。
私たちはこれをEUの法環境と結び付けて対比し、このフレームワークがオープンソースソフトウェア(OSS)開発にどのような意味を持つのか、新たなAIリスクについて論じます。
さらに,提案フレームワークが有効であった場合,何の分析を行ったか,という結果を得たCrowdStrikeケーススタディを提案する。
私たちの意図は、研究者と実践者の双方の堅牢な会話を刺激することにあります。
関連論文リスト
- Continuous risk assessment in secure DevOps [0.24475591916185502]
私たちは、組織内のリスク関連アクティビティとの関わりから、セキュアなDevOpsが利益を得られるかについて論じています。
我々は、リスクアセスメント(RA)、特に脅威モデリング(TM)を組み合わせることに集中し、ソフトウェアライフサイクルの早期にセキュリティ上の配慮を適用します。
論文 参考訳(メタデータ) (2024-09-05T10:42:27Z) - Balancing Innovation and Ethics in AI-Driven Software Development [0.0]
本稿では,GitHub CopilotやChatGPTといったAIツールをソフトウェア開発プロセスに統合することの倫理的意味を批判的に考察する。
コードオーナシップ、バイアス、説明責任、プライバシ、雇用市場への影響の可能性などについて検討する。
論文 参考訳(メタデータ) (2024-08-10T14:11:22Z) - Agent-Driven Automatic Software Improvement [55.2480439325792]
本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。
継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。
我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
論文 参考訳(メタデータ) (2024-06-24T15:45:22Z) - An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。
私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
論文 参考訳(メタデータ) (2024-06-12T13:30:53Z) - Position: How Regulation Will Change Software Security Research [3.8165295526908243]
ソフトウェア工学の研究は、業界が新しい標準に従うのに役立つより良いツールとサポートを提供する必要がある、と私たちは主張する。
我々は法学者と計算機科学者の強い協力を主張する。
論文 参考訳(メタデータ) (2024-06-06T15:16:44Z) - A Safe Harbor for AI Evaluation and Red Teaming [124.89885800509505]
一部の研究者は、そのような研究の実施や研究成果の公表が、アカウント停止や法的報復につながることを恐れている。
我々は、主要なAI開発者が法的、技術的に安全な港を提供することを約束することを提案します。
これらのコミットメントは、ジェネレーティブAIのリスクに取り組むための、より包括的で意図しないコミュニティ努力への必要なステップである、と私たちは信じています。
論文 参考訳(メタデータ) (2024-03-07T20:55:08Z) - Incentivizing Secure Software Development: The Role of Liability (Waiver) and Audit [13.971996404435172]
最近提案された米国国家サイバーセキュリティ戦略は、サイバーインシデントに対する責任をソフトウェアベンダーに戻す。
そうすることで、戦略は責任放棄という概念を推し進めます。
我々は、オプトインベンダーにとって最適な戦略は、決して辞めることではなく、"ワン・アンド・ドーン"あるいは"インクリメンタル"な方法で累積的な投資を行うことであることを示す。
論文 参考訳(メタデータ) (2024-01-16T16:27:30Z) - The risks of risk-based AI regulation: taking liability seriously [46.90451304069951]
AIの開発と規制は、重要な段階に達したようだ。
一部の専門家は、GPT-4よりも強力なAIシステムのトレーニングに関するモラトリアムを求めている。
本稿では、最も先進的な法的提案である欧州連合のAI法について分析する。
論文 参考訳(メタデータ) (2023-11-03T12:51:37Z) - Embedded Software Development with Digital Twins: Specific Requirements
for Small and Medium-Sized Enterprises [55.57032418885258]
デジタル双生児は、コスト効率の良いソフトウェア開発とメンテナンス戦略の可能性を秘めている。
私たちは中小企業に現在の開発プロセスについてインタビューした。
最初の結果は、リアルタイムの要求が、これまでは、Software-in-the-Loop開発アプローチを妨げていることを示している。
論文 参考訳(メタデータ) (2023-09-17T08:56:36Z) - SUPERNOVA: Automating Test Selection and Defect Prevention in AAA Video
Games Using Risk Based Testing and Machine Learning [62.997667081978825]
従来の手法では、成長するソフトウェアシステムではスケールできないため、ビデオゲームのテストはますます難しいタスクになります。
自動化ハブとして機能しながら,テスト選択と欠陥防止を行うシステム SUPERNOVA を提案する。
この直接的な影響は、未公表のスポーツゲームタイトルの55%以上のテスト時間を減らすことが観察されている。
論文 参考訳(メタデータ) (2022-03-10T00:47:46Z) - Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。
私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
論文 参考訳(メタデータ) (2021-07-15T11:14:03Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。