論文の概要: Incorporating Verification Standards for Security Requirements Generation from Functional Specifications

• arxiv url: http://arxiv.org/abs/2505.11857v1
• Date: Sat, 17 May 2025 05:47:46 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-20 14:57:10.899328
• Title: Incorporating Verification Standards for Security Requirements Generation from Functional Specifications
• Title（参考訳）: 機能仕様から生じるセキュリティ要件の検証基準の組み入れ
• Authors: Xiaoli Lian, Shuaisong Wang, Hanyu Zou, Fang Liu, Jiajun Wu, Li Zhang,
• Abstract要約: F2SRD(Function to Security Requirements Derivation)は、機能仕様からセキュリティ要件(SR)を積極的に引き出す自動アプローチである。 まず、FRとVRペアのカスタムデータベースでトレーニングされたVRレトリバーを開発し、ASVSから適用可能なVRを積極的に選択できるようにします。 第二に、これらのVRは、SRを生成する際にGPT4を誘導する構造化プロンプトを構築するために使用される。
• 参考スコア（独自算出の注目度）: 12.428384271131407
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: In the current software driven era, ensuring privacy and security is critical. Despite this, the specification of security requirements for software is still largely a manual and labor intensive process. Engineers are tasked with analyzing potential security threats based on functional requirements (FRs), a procedure prone to omissions and errors due to the expertise gap between cybersecurity experts and software engineers. To bridge this gap, we introduce F2SRD (Function to Security Requirements Derivation), an automated approach that proactively derives security requirements (SRs) from functional specifications under the guidance of relevant security verification requirements (VRs) drawn from the well recognized OWASP Application Security Verification Standard (ASVS). F2SRD operates in two main phases: Initially, we develop a VR retriever trained on a custom database of FR and VR pairs, enabling it to adeptly select applicable VRs from ASVS. This targeted retrieval informs the precise and actionable formulation of SRs. Subsequently, these VRs are used to construct structured prompts that direct GPT4 in generating SRs. Our comparative analysis against two established models demonstrates F2SRD's enhanced performance in producing SRs that excel in inspiration, diversity, and specificity essential attributes for effective security requirement generation. By leveraging security verification standards, we believe that the generated SRs are not only more focused but also resonate stronger with the needs of engineers.
• Abstract（参考訳）: 現在のソフトウェア駆動の時代では、プライバシとセキュリティの確保が重要です。 それにもかかわらず、ソフトウェアのセキュリティ要件の仕様は依然として手作業と労働集約的なプロセスである。 エンジニアは、機能要件(FR)に基づいて潜在的なセキュリティ脅威を分析することを任務としています。 このギャップを埋めるために、よく知られたOWASPアプリケーションセキュリティ検証標準(ASVS)から引き出された関連するセキュリティ検証要件(VR)のガイダンスの下で、機能仕様からセキュリティ要件(SR)を積極的に引き出す自動アプローチであるF2SRD(Function to Security Requirements Derivation)を導入する。 当初、私たちはFRとVRペアのカスタムデータベースでトレーニングされたVRレトリバーを開発し、ASVSから適用可能なVRを積極的に選択できるようにしました。 このターゲット検索は、SRの正確かつ実行可能な定式化を通知する。 その後、これらのVRは、SRを生成する際にGPT4を誘導する構造化プロンプトを構築するために使用される。 2つの確立されたモデルとの比較分析により、F2SRDは、効果的なセキュリティ要件生成のためのインスピレーション、多様性、特異性に優れたSRの生成性能を示した。 セキュリティ検証標準を活用することで、生成されたSRは、より焦点を絞っただけでなく、エンジニアのニーズに強く響くようになると信じています。

関連論文リスト

• Securing RAG: A Risk Assessment and Mitigation Framework [0.0]
  Retrieval Augmented Generation (RAG)は、ユーザ向けNLPアプリケーションのためのデファクト業界標準として登場した。 本稿では,RAGパイプラインの脆弱性を概観し,データ前処理からLLM(Large Language Models)の統合に至るまで,攻撃面の概要を述べる。
  論文  参考訳（メタデータ） (2025-05-13T16:39:00Z)
• Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
  本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。 敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。 GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
  論文  参考訳（メタデータ） (2025-03-30T13:26:00Z)
• MES-RAG: Bringing Multi-modal, Entity-Storage, and Secure Enhancements to RAG [65.0423152595537]
  本稿では,エンティティ固有のクエリ処理を強化し,正確でセキュアで一貫した応答を提供するMES-RAGを提案する。 MES-RAGは、データアクセスの前に保護を適用してシステムの整合性を確保するための積極的なセキュリティ対策を導入している。 実験の結果,MES-RAGは精度とリコールの両方を著しく改善し,質問応答の安全性と有用性を向上する効果が示された。
  論文  参考訳（メタデータ） (2025-03-17T08:09:42Z)
• Privacy-Aware RAG: Secure and Isolated Knowledge Retrieval [7.412110686946628]
  本稿では,RAGシステムを不正アクセスやデータ漏洩から保護するための高度な暗号化手法を提案する。 当社のアプローチでは、ストレージに先立ってテキストコンテンツとそれに対応する埋め込みの両方を暗号化し、すべてのデータがセキュアに暗号化されていることを保証します。 以上の結果から,RAGシステムの設計と展開に高度な暗号化技術を統合することにより,プライバシー保護を効果的に強化できることが示唆された。
  論文  参考訳（メタデータ） (2025-03-17T07:45:05Z)
• Formal Verification of PLCs as a Service: A CERN-GSI Safety-Critical Case Study (extended version) [0.0]
  本稿では,PLC(Programmable logic controller)プログラムに対して,機能安全基準に準拠した形式的検証サービスを提案する。 形式的検証プロセスに対する要求の高まりに対応するために、コスト効率のよいソリューションを提供する。
  論文  参考訳（メタデータ） (2025-02-26T14:08:58Z)
• Dynamic safety cases for frontier AI [0.7538606213726908]
  本稿では, 安全ケースの初期作成と, その体系的, 半自動改定の両立を支援するための動的安全事例管理システム(DSCMS)を提案する。 攻撃的サイバー能力のための安全ケーステンプレート上でこのアプローチを実証し、安全クリティカルな意思決定のためのガバナンス構造に統合する方法を提案する。
  論文  参考訳（メタデータ） (2024-12-23T14:43:41Z)
• EARBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [53.717918131568936]
  EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。 高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。 しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。 本研究では,EAIシナリオにおける身体的リスクの自動評価のための新しいフレームワークEARBenchを紹介する。
  論文  参考訳（メタデータ） (2024-08-08T13:19:37Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)
• Recursively Feasible Probabilistic Safe Online Learning with Control Barrier Functions [60.26921219698514]
  CBFをベースとした安全クリティカルコントローラのモデル不確実性を考慮した再構成を提案する。 次に、結果の安全制御器のポイントワイズ実現可能性条件を示す。 これらの条件を利用して、イベントトリガーによるオンラインデータ収集戦略を考案する。
  論文  参考訳（メタデータ） (2022-08-23T05:02:09Z)
• Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
  本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。 我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。 ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
  論文  参考訳（メタデータ） (2021-06-03T16:45:40Z)
• SoK: A Modularized Approach to Study the Security of Automatic Speech Recognition Systems [13.553395767144284]
  我々は、ASRセキュリティのための知識の体系化と、モジュール化されたワークフローに基づく既存の作業の包括的分類を提供する。 本稿では,この領域の研究を,画像認識システム(irs)におけるセキュリティに関する研究と一致させる。 これらの類似性により、IRSが提案する攻撃と防衛ソリューションのスペクトルに基づいて、ASRセキュリティにおける既存の文献を体系的に研究することができる。 対照的に、それらの違い、特にIRSと比較してASRの複雑さは、ASRセキュリティのユニークな課題と機会を学ぶのに役立ちます。
  論文  参考訳（メタデータ） (2021-03-19T06:24:04Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。