論文の概要: Establishing a Baseline of Software Supply Chain Security Task Adoption by Software Organizations
- arxiv url: http://arxiv.org/abs/2509.08083v1
- Date: Tue, 09 Sep 2025 18:39:03 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-11 15:16:52.224237
- Title: Establishing a Baseline of Software Supply Chain Security Task Adoption by Software Organizations
- Title(参考訳): ソフトウェア組織によるソフトウェアサプライチェーンセキュリティタスク採用のベースラインを確立する
- Authors: Laurie Williams, Sammy Migues,
- Abstract要約: ソフトウェアサプライチェーンの攻撃は2020年以来指数関数的に増加している。
ソフトウェアコンポーネントやビルドインフラストラクチャを通じて、新たな攻撃ベクトルを緩和するタスクは、導入の初期段階にあります。
- 参考スコア(独自算出の注目度): 0.3079566893278951
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Software supply chain attacks have increased exponentially since 2020. The primary attack vectors for supply chain attacks are through: (1) software components; (2) the build infrastructure; and (3) humans (a.k.a software practitioners). Software supply chain risk management frameworks provide a list of tasks that an organization can adopt to reduce software supply chain risk. Exhaustively adopting all the tasks of these frameworks is infeasible, necessitating the prioritized adoption of tasks. Software organizations can benefit from being guided in this prioritization by learning what tasks other teams have adopted. The goal of this study is to aid software development organizations in understanding the adoption of security tasks that reduce software supply chain risk through an interview study of software practitioners engaged in software supply chain risk management efforts. An interview study was conducted with 61 practitioners at nine software development organizations that have focused efforts on reducing software supply chain risk. The results of the interviews indicate that organizations had implemented the most adopted software tasks before the focus on software supply chain security. Therefore, their implementation in organizations is more mature. The tasks that mitigate the novel attack vectors through software components and the build infrastructure are in the early stages of adoption. Adoption of these tasks should be prioritized.
- Abstract(参考訳): ソフトウェアサプライチェーンの攻撃は2020年以来指数関数的に増加している。
サプライチェーン攻撃の主な攻撃ベクターは、(1)ソフトウェアコンポーネント、(2)ビルドインフラストラクチャ、(3)人間(すなわちソフトウェア実践者)である。
ソフトウェアサプライチェーンのリスク管理フレームワークは、ソフトウェアサプライチェーンのリスクを低減するために組織が採用できるタスクのリストを提供する。
これらのフレームワークのすべてのタスクを徹底的に採用することは不可能であり、優先順位付けされたタスクの採用を必要とします。
ソフトウェア組織は、他のチームが採用したタスクを学習することで、この優先順位付けでガイドされることの恩恵を受けることができます。
本研究の目的は,ソフトウェアサプライチェーンのリスク管理に携わるソフトウェア実践者のインタビューを通じて,ソフトウェアサプライチェーンのリスクを低減するセキュリティタスクの採用を理解することを支援することである。
ソフトウェアサプライチェーンのリスク軽減に注力している9つのソフトウェア開発組織において、61人の実践者とのインタビュースタディが実施された。
インタビューの結果は、ソフトウェアサプライチェーンのセキュリティにフォーカスする前に、最も採用されているソフトウェアタスクを組織が実施していたことを示している。
したがって、組織における彼らの実装はより成熟しています。
ソフトウェアコンポーネントやビルドインフラストラクチャを通じて、新たな攻撃ベクトルを緩和するタスクは、導入の初期段階にあります。
これらのタスクの採用を優先すべきです。
関連論文リスト
- S3C2 Summit 2024-09: Industry Secure Software Supply Chain Summit [50.93790634176803]
ここ数年、ソフトウェアサプライチェーンをターゲットにしたサイバー攻撃が急増している。
ソフトウェアサプライチェーン攻撃の脅威は、ソフトウェア業界と米国政府から関心を集めている。
NSFが支援するSecure Software Supply Chain Center (S3C2)の3人の研究者がSecure Software Supply Chain Summitを開催した。
論文 参考訳(メタデータ) (2025-05-15T17:48:14Z) - Closing the Chain: How to reduce your risk of being SolarWinds, Log4j, or XZ Utils [0.8111409409504281]
本研究の目的は,ソフトウェアサプライチェーン攻撃のリスクを低減することにある。
攻撃技術収集のため,サイバー脅威情報(CTI)106件を質的に分析した。
最も高いスコアを持つ3つの緩和タスクは、ロールベースのアクセス制御、システム監視、バウンダリ保護である。
論文 参考訳(メタデータ) (2025-03-15T16:22:09Z) - S3C2 Summit 2023-11: Industry Secure Supply Chain Summit [60.025314516749205]
本稿は2023年11月16日に開催された産業安全供給チェーンサミットを要約する。
このサミットの目的は、オープンな議論、相互共有を可能にし、ソフトウェアサプライチェーンの確保において、実践経験のある業界実践者が直面する共通の課題に光を当てることだった。
論文 参考訳(メタデータ) (2024-08-29T13:40:06Z) - Agent-Driven Automatic Software Improvement [55.2480439325792]
本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。
継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。
我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
論文 参考訳(メタデータ) (2024-06-24T15:45:22Z) - SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。
本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
論文 参考訳(メタデータ) (2024-05-23T18:53:48Z) - ChatDev: Communicative Agents for Software Development [84.90400377131962]
ChatDevはチャットを利用したソフトウェア開発フレームワークで、特別なエージェントがコミュニケーション方法についてガイドされる。
これらのエージェントは、統一された言語ベースのコミュニケーションを通じて、設計、コーディング、テストフェーズに積極的に貢献する。
論文 参考訳(メタデータ) (2023-07-16T02:11:34Z) - Software supply chain: review of attacks, risk assessment strategies and
security controls [0.13812010983144798]
ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。
我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。
本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
論文 参考訳(メタデータ) (2023-05-23T15:25:39Z) - Will bots take over the supply chain? Revisiting Agent-based supply
chain automation [71.77396882936951]
エージェントベースのサプライチェーンは2000年初頭から提案されている。
エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。
例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
論文 参考訳(メタデータ) (2021-09-03T18:44:26Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。