論文の概要: Prioritizing Security Practice Adoption: Empirical Insights on Software Security Outcomes in the npm Ecosystem
- arxiv url: http://arxiv.org/abs/2504.14026v1
- Date: Fri, 18 Apr 2025 18:31:31 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-30 05:50:44.463874
- Title: Prioritizing Security Practice Adoption: Empirical Insights on Software Security Outcomes in the npm Ecosystem
- Title(参考訳): セキュリティプラクティスの採用を優先する - npmエコシステムにおけるソフトウェアセキュリティの成果に関する実証的考察
- Authors: Nusrat Zahan, Laurie Williams,
- Abstract要約: 本研究の目的は、実践者や政策立案者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。
npm GitHubリポジトリにおけるセキュリティプラクティスの採用を自動的に測定するために、OpenSSF Scorecardメトリクスを選択しました。
12Scorecard測定値とその集計スコアを用いて回帰分析および因果解析を行った。
- 参考スコア(独自算出の注目度): 5.900798025576862
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Practitioners often struggle with the overwhelming number of security practices outlined in cybersecurity frameworks for risk mitigation. Given the limited budget, time, and resources, practitioners want to prioritize the adoption of security practices based on empirical evidence. The goal of this study is to assist practitioners and policymakers in making informed decisions on which security practices to adopt by evaluating the relationship between software security practices and security outcome metrics. The study investigated the relationship between security practice adoption and security outcomes. We selected the OpenSSF Scorecard metrics to automatically measure the adoption of security practices in npm GitHub repositories. We also explored security outcome metrics, such as the number of open vulnerabilities (Vul_Count), mean time to remediate (MTTR) vulnerabilities in dependencies, and mean time to update (MTTU) dependencies. We conducted regression and causal analysis using 12 Scorecard metrics and their aggregated Scorecard score (computed by aggregating individual security practice scores) as predictors and Vul_Count, MTTR, and MTTU as target variables. Our findings show that higher aggregated Scorecard scores are associated with fewer Vul_Count and shorter MTTU, also supported by causal analysis. However, while the regression model suggests shorter MTTR, causal analysis indicates project characteristics likely influence MTTR direction. Segment analysis shows that larger, newer repositories with more contributors, dependencies, and downloads have shorter MTTR. Among individual security practices, Code Review, Maintained status, Pinned Dependencies, and Branch Protection show strong associations with security outcomes; the directionality of these associations varies across security outcomes.
- Abstract(参考訳): 実践者は、リスク軽減のためのサイバーセキュリティフレームワークで概説される圧倒的な数のセキュリティプラクティスに苦慮することが多い。
限られた予算、時間、資源を考えると、実践者は経験的な証拠に基づいてセキュリティプラクティスの採用を優先したい。
本研究の目的は,ソフトウェアセキュリティプラクティスとセキュリティアウトカムメトリクスの関係を評価することによって,セキュリティプラクティスがどのようなプラクティスを採用するべきかを,実践者や政策立案者が判断するのを支援することである。
本研究は,セキュリティ実践導入とセキュリティ成果の関係について検討した。
npm GitHubリポジトリにおけるセキュリティプラクティスの採用を自動的に測定するために、OpenSSF Scorecardメトリクスを選択しました。
また、オープンな脆弱性の数(Vul_Count)、依存関係の脆弱性の修正時間(MTTR)、依存関係の更新時間(MTTU)など、セキュリティ結果の指標についても検討しました。
対象変数としてVul_Count, MTTR, MTTUを用いた回帰分析および因果解析を行った。
以上の結果より,Scorecardスコアはより少ないVul_Count値と短いMTTU値に関連し,因果解析も支持していることが明らかとなった。
しかし,回帰モデルではMTTRが短いことが示唆されるが,因果解析ではプロジェクト特性がMTTR方向に影響を与える可能性が示唆された。
Segment分析によると、より多くのコントリビュータ、依存関係、ダウンロードを持つ、より大きくて新しいリポジトリは、MTTRが短い。
個々のセキュリティプラクティスの中で、コードレビュー、メンテナンスされたステータス、ピン付き依存関係、ブランチプロテクションは、セキュリティ成果と強い関連性を示している。
関連論文リスト
- SafeMLRM: Demystifying Safety in Multi-modal Large Reasoning Models [50.34706204154244]
推論能力の獲得は、引き継がれた安全アライメントを壊滅的に劣化させる。
特定のシナリオは、25倍の攻撃率を被る。
MLRMは、厳密な推論と問合せの安全結合にもかかわらず、初期段階の自己補正を示す。
論文 参考訳(メタデータ) (2025-04-09T06:53:23Z) - How Robust Are Router-LLMs? Analysis of the Fragility of LLM Routing Capabilities [62.474732677086855]
大規模言語モデル(LLM)ルーティングは,計算コストと性能のバランスをとる上で重要な戦略である。
DSCベンチマークを提案する: Diverse, Simple, and Categorizedは、幅広いクエリタイプでルータのパフォーマンスを分類する評価フレームワークである。
論文 参考訳(メタデータ) (2025-03-20T19:52:30Z) - Safe Vision-Language Models via Unsafe Weights Manipulation [75.04426753720551]
我々は、異なるレベルの粒度で安全性を評価する新しい指標セットであるSafe-Groundを導入し、安全性の評価を見直した。
我々は異なる方向を採り、トレーニングなしでモデルをより安全にできるかどうかを探り、Unsafe Weights Manipulation (UWM)を導入します。
UWMは、セーフとアンセーフのインスタンスのキャリブレーションセットを使用して、セーフとアンセーフのコンテンツのアクティベーションを比較し、後者を処理する上で最も重要なパラメータを特定する。
論文 参考訳(メタデータ) (2025-03-14T17:00:22Z) - CASTLE: Benchmarking Dataset for Static Code Analyzers and LLMs towards CWE Detection [2.5228276786940182]
本稿では,異なる手法の脆弱性検出能力を評価するためのベンチマークフレームワークであるCASTLEを紹介する。
我々は,25個のCWEをカバーする250個のマイクロベンチマークプログラムを手作りしたデータセットを用いて,静的解析ツール13,LLM10,形式検証ツール2を評価した。
論文 参考訳(メタデータ) (2025-03-12T14:30:05Z) - Beyond the Surface: An NLP-based Methodology to Automatically Estimate CVE Relevance for CAPEC Attack Patterns [42.63501759921809]
本稿では,自然言語処理(NLP)を利用して,共通脆弱性・暴露(CAPEC)脆弱性と共通攻撃パターン・分類(CAPEC)攻撃パターンを関連付ける手法を提案する。
実験による評価は,最先端モデルと比較して優れた性能を示した。
論文 参考訳(メタデータ) (2025-01-13T08:39:52Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。
古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。
その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
論文 参考訳(メタデータ) (2024-08-26T13:46:48Z) - The Art of Defending: A Systematic Evaluation and Analysis of LLM
Defense Strategies on Safety and Over-Defensiveness [56.174255970895466]
大規模言語モデル(LLM)は、自然言語処理アプリケーションにおいて、ますます重要な役割を担っている。
本稿では,SODE(Safety and Over-Defensiveness Evaluation)ベンチマークを提案する。
論文 参考訳(メタデータ) (2023-12-30T17:37:06Z) - Online Safety Property Collection and Refinement for Safe Deep
Reinforcement Learning in Mapless Navigation [79.89605349842569]
オンラインプロパティのコレクション・リファインメント(CROP)フレームワークをトレーニング時にプロパティを設計するために導入する。
CROPは、安全でない相互作用を識別し、安全特性を形成するためにコストシグナルを使用する。
本手法をいくつかのロボットマップレスナビゲーションタスクで評価し,CROPで計算した違反量によって,従来のSafe DRL手法よりも高いリターンと低いリターンが得られることを示す。
論文 参考訳(メタデータ) (2023-02-13T21:19:36Z) - Semantic Similarity-Based Clustering of Findings From Security Testing
Tools [1.6058099298620423]
特に、複数の観点からソフトウェアアーチファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的である。
これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。
本研究では,意味論的に類似したセキュリティ発見のクラスタリングに自然言語処理を適用する可能性について検討した。
論文 参考訳(メタデータ) (2022-11-20T19:03:19Z) - Do Software Security Practices Yield Fewer Vulnerabilities? [6.6840472845873276]
本研究の目的は、専門家や研究者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。
4つのセキュリティプラクティスが、脆弱性数に影響を与える最も重要なプラクティスでした。
パッケージの総セキュリティスコアが増加するにつれて、報告された脆弱性の数は減少した。
論文 参考訳(メタデータ) (2022-10-20T20:04:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。