論文の概要: Enhancing Software Supply Chain Security Through STRIDE-Based Threat Modelling of CI/CD Pipelines
- arxiv url: http://arxiv.org/abs/2506.06478v1
- Date: Fri, 06 Jun 2025 19:06:59 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-06-10 16:33:10.287495
- Title: Enhancing Software Supply Chain Security Through STRIDE-Based Threat Modelling of CI/CD Pipelines
- Title(参考訳): STRIDEベースのCI/CDパイプラインの脅威モデリングによるソフトウェアサプライチェーンセキュリティの強化
- Authors: Sowmiya Dhandapani,
- Abstract要約: 本研究では,継続的統合/継続的デプロイメントライフサイクルを通じてリスクを特定し,緩和するために,構造化された脅威モデリングアプローチを適用します。
脅威は文書化されており、NIST SP 800-218、トップ10のCI/CDリスク、SLSAフレームワークなどの標準から引き出された包括的なセキュリティコントロールが提供されている。
このアプローチは、進化するソフトウェアサプライチェーンの脅威に対するCI/CDパイプラインのセキュリティを強化するための実践的なロードマップを提供する。
- 参考スコア(独自算出の注目度): 1.3535770763481907
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: With the increasing adoption of Continuous Integration and Continuous Deployment pipelines, securing software supply chains has become a critical challenge for modern DevOps teams. This study addresses these challenges by applying a structured threat modeling approach to identify and mitigate risks throughout the CI/CD lifecycle. By modeling a representative pipeline architecture incorporating tools such as GitHub, Jenkins, Docker, and Kubernetes and applying the STRIDE framework, we systematically analyze vulnerabilities at each stage, from source code management to deployment. Threats are documented and mapped to comprehensive security controls drawn from standards like NIST SP 800-218, OWASP Top 10 CI/CD risks, and the SLSA framework. Controls are further evaluated against SLSA maturity levels to assess improvements in trust and provenance. To operationalize these findings, the study outlines a practical security toolchain integration strategy grounded in Security as Code and Shift Left-Shield Right principles, enabling automated, enforceable security across the pipeline. This approach provides a pragmatic roadmap for enhancing CI/CD pipeline security against evolving software supply chain threats.
- Abstract(参考訳): 継続的インテグレーションと継続的デプロイメントパイプラインの採用の増加に伴い、ソフトウェアサプライチェーンの確保は、現代のDevOpsチームにとって重要な課題となっている。
本研究では,CI/CDライフサイクル全体を通じてリスクを特定し緩和するために,構造化脅威モデリングアプローチを適用することで,これらの課題に対処する。
GitHub、Jenkins、Docker、Kubernetesなどのツールを取り入れた代表的なパイプラインアーキテクチャをモデリングし、STRIDEフレームワークを適用することで、ソースコード管理からデプロイメントに至るまで、各ステージの脆弱性を体系的に分析する。
脅威はドキュメント化され、NIST SP 800-218、OWASP Top 10 CI/CDリスク、SLSAフレームワークなどの標準から引き出された包括的なセキュリティコントロールにマップされる。
SLSAの成熟度レベルに対するコントロールをさらに評価し、信頼と実績の改善を評価する。
これらの発見を運用するために、この研究は、Security as CodeとShift left-Shield Right原則に基づく、実践的なセキュリティツールチェーン統合戦略の概要を説明した。
このアプローチは、進化するソフトウェアサプライチェーンの脅威に対するCI/CDパイプラインのセキュリティを強化するための実践的なロードマップを提供する。
関連論文リスト
- Docker under Siege: Securing Containers in the Modern Era [0.0]
本稿では,ランタイム保護,ネットワーク保護,設定ベストプラクティス,サプライチェーンセキュリティ,包括的な監視とロギングソリューションなど,コンテナセキュリティの重要な領域について検討する。
これらのドメイン内の一般的な脆弱性を特定し、これらのリスクに対処し緩和するための実行可能なレコメンデーションを提供します。
論文 参考訳(メタデータ) (2025-05-31T13:00:52Z) - Automating Safety Enhancement for LLM-based Agents with Synthetic Risk Scenarios [77.86600052899156]
LLM(Large Language Model)ベースのエージェントは、現実のアプリケーションにますますデプロイされる。
完全自動合成データ生成によるエージェント安全性を体系的に向上する最初のフレームワークであるAutoSafeを提案する。
AutoSafeは安全性のスコアを平均で45%向上させ、現実世界のタスクでは28.91%の改善を実現している。
論文 参考訳(メタデータ) (2025-05-23T10:56:06Z) - ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。
これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。
我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
論文 参考訳(メタデータ) (2024-11-21T18:26:05Z) - Global Challenge for Safe and Secure LLMs Track 1 [57.08717321907755]
LLM(Global Challenge for Safe and Secure Large Language Models)は、AI Singapore(AISG)とCyberSG R&D Programme Office(CRPO)が主催する先駆的イニシアチブである。
本稿では,AI Singapore(AISG)とCyberSG R&D Programme Office(CRPO)が組織した先駆的イニシアチブであるLLM(Global Challenge for Safe and Secure Large Language Models)を紹介する。
論文 参考訳(メタデータ) (2024-11-21T08:20:31Z) - Advancing Software Security and Reliability in Cloud Platforms through AI-based Anomaly Detection [0.5599792629509228]
この研究は、AIサポートによる異常検出を実装することにより、CI/CDパイプラインのセキュリティを向上させることを目的としている。
目標は、パイプラインとクラウドプラットフォームのネットワークトラフィックパターンから、異常な振る舞いやバリエーションを特定することだ。
コンボリューションニューラルネットワーク(CNN)とLong Short-Term Memory(LSTM)を組み合わせて,異常なトラフィックパターンを検出する。
論文 参考訳(メタデータ) (2024-11-14T05:45:55Z) - EARBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [53.717918131568936]
EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。
高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。
しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。
本研究では,EAIシナリオにおける身体的リスクの自動評価のための新しいフレームワークEARBenchを紹介する。
論文 参考訳(メタデータ) (2024-08-08T13:19:37Z) - Enhancing Software Supply Chain Resilience: Strategy For Mitigating Software Supply Chain Security Risks And Ensuring Security Continuity In Development Lifecycle [0.0]
この記事では、ソフトウェアサプライチェーンの進化的脅威に対する保護に必要な戦略的アプローチと予防措置について述べる。
ソフトウェアサプライチェーンのレジリエンスに固有の課題と脆弱性の理解を促進することを目的としている。
この記事では、ソフトウェアサプライチェーンのセキュリティ姿勢を強化するための継続的な取り組みに貢献する。
論文 参考訳(メタデータ) (2024-07-08T18:10:47Z) - SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。
本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
論文 参考訳(メタデータ) (2024-05-23T18:53:48Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - Evaluating Model-free Reinforcement Learning toward Safety-critical
Tasks [70.76757529955577]
本稿では、国家安全RLの観点から、この領域における先行研究を再考する。
安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。
この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
論文 参考訳(メタデータ) (2022-12-12T06:30:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。