論文の概要: Software Security Mapping Framework: Operationalization of Security Requirements

• arxiv url: http://arxiv.org/abs/2506.11051v1
• Date: Thu, 22 May 2025 06:34:48 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-22 23:32:14.519845
• Title: Software Security Mapping Framework: Operationalization of Security Requirements
• Title（参考訳）: ソフトウェアセキュリティマッピングフレームワーク: セキュリティ要件の運用
• Authors: Sung Une Lee, Liming Dong, Zhenchang Xing, Muhammad Ejaz Ahmed, Stefan Avgoustakis,
• Abstract要約: Software Security Mapping Frameworkは階層レベルのセキュリティ要件を運用するために設計された構造化ソリューションである。 このフレームワークは、131の洗練されたセキュリティ要件を、ソフトウェア開発ライフサイクルにまたがる400以上の実行可能な運用ステップに体系的にマッピングする。 Secure Software Environment、Secure Software Development、Software Traceability、Vulnerability Managementの4つのコアセキュリティ目標に基づいています。
• 参考スコア（独自算出の注目度）: 12.04694982718246
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The escalating complexity of modern software development environments has heightened concerns around supply chain security. However, existing frameworks often fall short in translating abstract security principles into concrete, actionable practices. This paper introduces the Software Security Mapping Framework, a structured solution designed to operationalize security requirements across hierarchical levels -- from high-level regulatory standards (e.g., ISM, Australia cybersecurity standard published by the Australian Signals Directorate), through mid-level frameworks (e.g., NIST SSDF, the U.S. Secure Software Development Framework), to fine-grained technical activities (e.g., SLSA, a software supply chain security framework). Developed through collaborative research with academic experts and industry practitioners, the framework systematically maps 131 refined security requirements to over 400 actionable operational steps spanning the software development lifecycle. It is grounded in four core security goals: Secure Software Environment, Secure Software Development, Software Traceability, and Vulnerability Management. Our approach leverages the KAOS goal modeling methodology to establish traceable linkages between strategic goals and tactical operations, enhancing clarity, accountability, and practical implementation. To facilitate adoption, we provide a web-based navigation tool for interactive exploration of the framework. A real-world case study based on the Log4j vulnerability illustrates the framework's utility by generating a tailored checklist aligned with industry best practices. Additionally, we offer a structured, machine-readable OSCAL Catalog Model of the Software Security Mapping Framework, enabling organizations to automate implementation, streamline compliance processes, and respond effectively to evolving security risks.
• Abstract（参考訳）: 現代のソフトウェア開発環境のエスカレートする複雑さにより、サプライチェーンのセキュリティに関する懸念が高まっている。 しかし、既存のフレームワークは、抽象的なセキュリティ原則を具体的で実行可能なプラクティスに翻訳するのに不足することが多い。 本稿では,階層レベルでのセキュリティ要件の運用を目的とした構造化されたソリューションであるSoftware Security Mapping Frameworkを紹介する。このフレームワークは,高レベルの規制基準(ISM,オーストラリア通信局が発行するサイバーセキュリティ標準など)から中レベルのフレームワーク(NIST SSDF,米国セキュアソフトウェア開発フレームワークなど),詳細な技術活動(SLSA,ソフトウェアサプライチェーンセキュリティフレームワークなど)に至るまで,階層レベルでのセキュリティ要件を運用するように設計されている。 学術の専門家や業界の実践者との共同研究を通じて開発されたこのフレームワークは、131の洗練されたセキュリティ要件を、ソフトウェア開発ライフサイクルにまたがる400以上の実行可能な運用ステップに体系的にマッピングする。 Secure Software Environment、Secure Software Development、Software Traceability、Vulnerability Managementの4つのコアセキュリティ目標に基づいています。 本手法では,戦略目標と戦術操作のトレーサブルなリンクを確立するために,KAOSの目標モデリング手法を活用し,明確性,説明可能性,実践的実装を向上させる。 採用を容易にするために,フレームワークをインタラクティブに探索するWebベースのナビゲーションツールを提供する。 Log4jの脆弱性に基づいた実世界のケーススタディでは、業界のベストプラクティスに合わせて調整されたチェックリストを生成することで、フレームワークの実用性を示している。 さらに、Software Security Mapping Frameworkの構造化されたマシン可読なOSCALカタログモデルを提供し、組織が実装を自動化し、コンプライアンスプロセスを合理化し、セキュリティリスクの進化に効果的に対応できるようにします。

関連論文リスト

• Enhancing Software Supply Chain Security Through STRIDE-Based Threat Modelling of CI/CD Pipelines [1.3535770763481907]
  本研究では,継続的統合/継続的デプロイメントライフサイクルを通じてリスクを特定し,緩和するために,構造化された脅威モデリングアプローチを適用します。 脅威は文書化されており、NIST SP 800-218、トップ10のCI/CDリスク、SLSAフレームワークなどの標準から引き出された包括的なセキュリティコントロールが提供されている。 このアプローチは、進化するソフトウェアサプライチェーンの脅威に対するCI/CDパイプラインのセキュリティを強化するための実践的なロードマップを提供する。
  論文  参考訳（メタデータ） (2025-06-06T19:06:59Z)
• Towards provable probabilistic safety for scalable embodied AI systems [79.31011047593492]
  エンボディードAIシステムは、様々なアプリケーションでますます普及している。 複雑な運用環境での安全性確保は依然として大きな課題である。 提案する確率的安全性は,大規模展開の残留リスクが予め定義された閾値以下であることを保証することを目的としている。
  論文  参考訳（メタデータ） (2025-06-05T15:46:25Z)
• LLM Agents Should Employ Security Principles [60.03651084139836]
  本稿では,大規模言語モデル(LLM)エージェントを大規模に展開する際には,情報セキュリティの確立した設計原則を採用するべきであることを論じる。 AgentSandboxは、エージェントのライフサイクル全体を通して保護を提供するために、これらのセキュリティ原則を組み込んだ概念的なフレームワークである。
  論文  参考訳（メタデータ） (2025-05-29T21:39:08Z)
• Designing Control Barrier Function via Probabilistic Enumeration for Safe Reinforcement Learning Navigation [55.02966123945644]
  本稿では,ニューラルネットワーク検証技術を利用して制御障壁関数(CBF)とポリシー修正機構の設計を行う階層型制御フレームワークを提案する。 提案手法は,安全なCBFベースの制御層を構築するために使用される,安全でない操作領域を特定するための確率的列挙に依存する。 これらの実験は、効率的なナビゲーション動作を維持しながら、安全でない動作を補正する提案手法の能力を実証するものである。
  論文  参考訳（メタデータ） (2025-04-30T13:47:25Z)
• Integrating DAST in Kanban and CI/CD: A Real World Security Case Study [2.3480418671346164]
  Webアプリケーションの攻撃と悪用された脆弱性が増加している。 現代の開発プラクティスにセキュリティを統合することがますます重要になっている。 現代の開発プラクティスでセキュリティプラクティスやアクティビティを採用するのは難しいです。
  論文  参考訳（メタデータ） (2025-03-27T19:46:05Z)
• Operationalizing Cybersecurity Knowledge: Design, Implementation & Evaluation of a Knowledge Management System for CACAO Playbooks [0.29998889086656577]
  サイバーセキュリティのプレイブックは 重要な手段だ 構造化され 再利用可能な インシデント対応への アプローチを継続的に改善する 新たなコラボレーティブ・オートマチック・コース・オブ・アクション・オペレーション(CACAO)標準は、サイバーセキュリティのプレイブックのための一般的なマシン処理可能なスキーマを定義している。 本稿では,CACAOのサイバーセキュリティプレイブックを管理するための知識管理システム(KMS)の設計,開発,評価について述べる。
  論文  参考訳（メタデータ） (2025-03-07T07:54:43Z)
• AISafetyLab: A Comprehensive Framework for AI Safety Evaluation and Improvement [73.0700818105842]
  我々は、AI安全のための代表的攻撃、防衛、評価方法論を統合する統合されたフレームワークとツールキットであるAISafetyLabを紹介する。 AISafetyLabには直感的なインターフェースがあり、開発者はシームレスにさまざまなテクニックを適用できる。 我々はヴィクナに関する実証的研究を行い、異なる攻撃戦略と防衛戦略を分析し、それらの比較効果に関する貴重な洞察を提供する。
  論文  参考訳（メタデータ） (2025-02-24T02:11:52Z)
• Integrating Cybersecurity Frameworks into IT Security: A Comprehensive Analysis of Threat Mitigation Strategies and Adaptive Technologies [0.0]
  サイバーセキュリティの脅威の状況は、IT構造を保護するための健全なフレームワークの開発を、積極的に推進している。 本稿では,サイバーセキュリティの脅威の性質の変化に対処する上での,このようなフレームワークの役割に焦点をあてて,ITセキュリティへのサイバーセキュリティフレームワークの適用について論じる。 この議論は、リアルタイム脅威検出と応答メカニズムのコアとして、人工知能(AI)や機械学習(ML)といった技術も挙げている。
  論文  参考訳（メタデータ） (2025-02-02T03:38:48Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• An Introduction to Adaptive Software Security [0.0]
  本稿では、MAPE-Kループとソフトウェア開発ライフサイクル(SDLC)を統合した革新的なアプローチを提案する。 開発全体を通じてセキュリティポリシを積極的に組み込んで,さまざまなレベルのソフトウェアエンジニアリングの脆弱性を低減します。
  論文  参考訳（メタデータ） (2023-12-28T20:53:11Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。