論文の概要: Security Debt in Practice: Nuanced Insights from Practitioners
- arxiv url: http://arxiv.org/abs/2507.11362v1
- Date: Tue, 15 Jul 2025 14:28:28 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-07-16 19:46:03.153915
- Title: Security Debt in Practice: Nuanced Insights from Practitioners
- Title(参考訳): セキュリティ負債の実践 - 実践者によるNuanced Insights
- Authors: Chaima Boufaied, Taher Ghaleb, Zainab Masood,
- Abstract要約: 期限の短縮、リソースの制限、セキュリティよりも機能の優先順位付けは、コーディングプラクティスの安全性を損なう可能性がある。
その重要な重要性にもかかわらず、ソフトウェア実践者がセキュリティ負債をどう認識し、管理し、伝達するかについての実証的な証拠は限られている。
この研究は、様々な役割、組織、国にわたる22人のソフトウェア実践者との半構造化されたインタビューに基づいている。
- 参考スコア(独自算出の注目度): 0.3277163122167433
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: With the increasing reliance on software and automation nowadays, tight deadlines, limited resources, and prioritization of functionality over security can lead to insecure coding practices. When not handled properly, these constraints cause unaddressed security vulnerabilities to accumulate over time, forming Security Debts (SDs). Despite their critical importance, there is limited empirical evidence on how software practitioners perceive, manage, and communicate SDs in real-world settings. In this paper, we present a qualitative empirical study based on semi-structured interviews with 22 software practitioners across various roles, organizations, and countries. We address four research questions: i) we assess software practitioners' knowledge of SDs and awareness of associated security risks, ii) we investigate their behavior towards SDs, iii) we explore common tools and strategies used to mitigate SDs, and iv) we analyze how security risks are communicated within teams and to decision makers. We observe variations in how practitioners perceive and manage SDs, with some prioritizing delivery speed over security, while others consistently maintain security as a priority. Our findings emphasize the need for stronger integration of security practices across the Software Development Life Cycle (SDLC), more consistent use of mitigation strategies, better balancing of deadlines, resources, and security-related tasks, with attention to the Confidentiality, Integrity, and Availability (CIA) triad.
- Abstract(参考訳): 近年、ソフトウェアや自動化への依存が増しているため、厳密な期限、限られたリソース、セキュリティよりも機能の優先順位付けが、コーディングプラクティスの安全性を損なう可能性がある。
適切に処理されていない場合、これらの制約は修正されていないセキュリティ脆弱性を時間とともに蓄積し、Security Debts(SD)を形成する。
その重要な重要性にもかかわらず、ソフトウェア実践者が現実の環境でSDを認識、管理、伝達する方法に関する実証的な証拠は限られている。
本稿では,様々な役割,組織,国にまたがる22人のソフトウェア実践者との半構造化インタビューに基づく質的研究について述べる。
我々は4つの研究課題に対処する。
一 ソフトウェア実践者のSDに関する知識及び関連するセキュリティリスクの認識を評価すること。
二 SDに対する振舞いを調査すること。
三 SDを緩和するための共通ツール及び戦略を探求し、
iv) セキュリティリスクがチーム内や意思決定者にどのように伝達されるかを分析すること。
我々は,SDの認識と管理方法のバリエーションを観察し,セキュリティよりもデリバリ速度を優先するものや,セキュリティを優先的に維持するものもある。
私たちの調査結果は、SDLC(Software Development Life Cycle)全体にわたるセキュリティプラクティスのより強固な統合の必要性、緩和戦略のより一貫した利用、期限、リソース、セキュリティ関連のタスクのバランスの改善、機密性、統合性、アベイラビリティ(CIA)の3つの課題に注目しています。
関連論文リスト
- Clean Code In Practice: Challenges and Opportunities [6.520228635709776]
本稿では,ソフトウェア信頼性,安全性,セキュリティの相互作用について考察する。
ソフトウェア信頼性に対する重大な脅威を特定し、脅威推定フレームワークを提供する。
本稿では,信頼性予測モデルを改善するための実践者のための実用的なガイドラインを提案する。
論文 参考訳(メタデータ) (2025-07-26T00:13:50Z) - Software Bill of Materials in Software Supply Chain Security A Systematic Literature Review [0.0]
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーン(Software supply chains, SSC)の確保に欠かせないツールであると考えられている。
この体系的な文献レビューは、現在SBOMがSSCセキュリティの強化にどのように使われているかを評価するために、40の査読された研究から証拠を合成する。
生成ツール、データプライバシ、フォーマット/標準化、共有/配布、コスト/オーバーヘッド、脆弱性のエクスプロイラビリティ、メンテナンス、分析ツール、偽陽性、隠されたパッケージ、改ざんなどである。
論文 参考訳(メタデータ) (2025-06-04T02:49:04Z) - Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。
敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。
GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
論文 参考訳(メタデータ) (2025-03-30T13:26:00Z) - Comprehensive Digital Forensics and Risk Mitigation Strategy for Modern Enterprises [0.0]
本研究は、サイバーセキュリティに対するアプローチの概要として、予防的脅威予測、法医学的調査、CCPAなどの規制の遵守などを挙げる。
ソーシャルエンジニアリング、インサイダーリスク、フィッシング、ランサムウェアといった主要な脅威と、AIと機械学習を活用する緩和戦略について検討する。
この発見は、機密データを保護するための継続的監視、政策執行、適応型セキュリティ対策の重要性を強調している。
論文 参考訳(メタデータ) (2025-02-26T23:18:49Z) - AISafetyLab: A Comprehensive Framework for AI Safety Evaluation and Improvement [73.0700818105842]
我々は、AI安全のための代表的攻撃、防衛、評価方法論を統合する統合されたフレームワークとツールキットであるAISafetyLabを紹介する。
AISafetyLabには直感的なインターフェースがあり、開発者はシームレスにさまざまなテクニックを適用できる。
我々はヴィクナに関する実証的研究を行い、異なる攻撃戦略と防衛戦略を分析し、それらの比較効果に関する貴重な洞察を提供する。
論文 参考訳(メタデータ) (2025-02-24T02:11:52Z) - Open Problems in Machine Unlearning for AI Safety [61.43515658834902]
特定の種類の知識を選択的に忘れたり、抑圧したりするマシンアンラーニングは、プライバシとデータ削除タスクの約束を示している。
本稿では,アンラーニングがAI安全性の包括的ソリューションとして機能することを防止するための重要な制約を特定する。
論文 参考訳(メタデータ) (2025-01-09T03:59:10Z) - Leveraging Security Observability to Strengthen Security of Digital Ecosystem Architecture [0.0]
複雑さは、デジタルエコシステムにおける可観測性とセキュリティの両方に重大な課題をもたらします。
可観測性により、組織はパフォーマンスの問題を診断し、リアルタイムで異常を検出することができる。
セキュリティは機密データの保護とサービスの整合性の確保に重点を置いている。
本稿では,デジタルエコシステムアーキテクチャにおける可観測性とセキュリティの相互関係について検討する。
論文 参考訳(メタデータ) (2024-12-07T11:17:29Z) - Safe Inputs but Unsafe Output: Benchmarking Cross-modality Safety Alignment of Large Vision-Language Model [73.8765529028288]
我々は、モダリティ間の安全アライメントを評価するために、セーフインプットとアンセーフアウトプット(SIUO)と呼ばれる新しい安全アライメントの課題を導入する。
この問題を実証的に調査するため,我々はSIUOを作成した。SIUOは,自己修復,違法行為,プライバシー侵害など,9つの重要な安全領域を含むクロスモダリティベンチマークである。
以上の結果から, クローズドおよびオープンソース両方のLVLMの安全性上の重大な脆弱性が明らかとなり, 複雑で現実的なシナリオを確実に解釈し, 応答する上で, 現行モデルが不十分であることが示唆された。
論文 参考訳(メタデータ) (2024-06-21T16:14:15Z) - Communicating on Security within Software Development Issue Tracking [0.0]
著名なイシュートラッカからインターフェースを分析して、セキュリティコミュニケーションをどのようにサポートし、セキュリティスコアをどのように統合するかを確認します。
本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。
これは、問題追跡ソフトウェアにおけるCVSSのような質問によるコミュニケーションの改善により、より良いセキュリティインタラクションが引き起こされる可能性があることを示唆している。
論文 参考訳(メタデータ) (2023-08-25T16:38:27Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。