論文の概要: Security smells in infrastructure as code: a taxonomy update beyond the seven sins

• arxiv url: http://arxiv.org/abs/2509.18761v1
• Date: Tue, 23 Sep 2025 07:55:35 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-24 20:41:27.759892
• Title: Security smells in infrastructure as code: a taxonomy update beyond the seven sins
• Title（参考訳）: インフラストラクチャーにコードの臭いがする:7つの罪を超えた分類学のアップデート
• Authors: Aicha War, Serge L. B. Nikiema, Jordan Samhi, Jacques Klein, Tegawende F. Bissyande,
• Abstract要約: 現代的なソフトウェア管理には、インフラストラクチャ・アズ・コード(IaC)が不可欠になっています。 IaCスクリプトのセキュリティ欠陥は深刻な結果をもたらす可能性がある。 以前の研究は、IaCスクリプトでセキュリティの臭いを正確に分類する必要性を認識していた。
• 参考スコア（独自算出の注目度）: 6.183218505813936
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Infrastructure as Code (IaC) has become essential for modern software management, yet security flaws in IaC scripts can have severe consequences, as exemplified by the recurring exploits of Cloud Web Services. Prior work has recognized the need to build a precise taxonomy of security smells in IaC scripts as a first step towards developing approaches to improve IaC security. This first effort led to the unveiling of seven sins, limited by the focus on a single IaC tool as well as by the extensive, and potentially biased, manual effort that was required. We propose, in our work, to revisit this taxonomy: first, we extend the study of IaC security smells to a more diverse dataset with scripts associated with seven popular IaC tools, including Terraform, Ansible, Chef, Puppet, Pulumi, Saltstack, and Vagrant; second, we bring in some automation for the analysis by relying on an LLM. While we leverage LLMs for initial pattern processing, all taxonomic decisions underwent systematic human validation and reconciliation with established security standards. Our study yields a comprehensive taxonomy of 62 security smell categories, significantly expanding beyond the previously known seven. We demonstrate actionability by implementing new security checking rules within linters for seven popular IaC tools, often achieving 1.00 precision score. Our evolution study of security smells in GitHub projects reveals that these issues persist for extended periods, likely due to inadequate detection and mitigation tools. This work provides IaC practitioners with insights for addressing common security smells and systematically adopting DevSecOps practices to build safer infrastructure code.
• Abstract（参考訳）: インフラストラクチャ・アズ・コード(Infrastructure as Code, IaC)は、現代のソフトウェア管理に欠かせないものになっているが、IaCスクリプトのセキュリティ欠陥は、Cloud Web Servicesの反復的なエクスプロイトによって例示されるように、深刻な結果をもたらす可能性がある。 以前の研究は、IaCのセキュリティを改善するためのアプローチを開発するための第一歩として、IaCスクリプトにセキュリティの臭いの正確な分類を構築する必要性を認識していた。 この最初の取り組みは7つの罪の公表につながったが、それは単一のIaCツールに焦点をあてることと、広範囲でバイアスのかかる手作業によって制限された。 まず、Terraform、Ansible、Chef、Puppet、Pulumi、Saltstack、Vagrantを含む7つの人気のあるIaCツールに関連するスクリプトで、より多様なデータセットにIaCセキュリティの臭いの研究を拡張します。 LLMを初期パターン処理に活用する一方で、すべての分類学的決定は、確立されたセキュリティ標準との体系的な検証と和解を行った。 本研究は,62種類の防臭カテゴリーを包括的に分類し,従来知られていた7種をはるかに超えている。 我々は、人気のある7つのIaCツールのリンタ内で新しいセキュリティチェックルールを実装し、しばしば1.00の精度スコアを達成することで、実行可能性を示す。 GitHubプロジェクトでのセキュリティの臭いに関する私たちの進化の研究によると、これらの問題は、おそらく不適切な検出と緩和ツールのために、長期にわたって継続している。 この作業は、IaC実践者に共通のセキュリティの臭いに対処するための洞察を与え、より安全なインフラストラクチャコードを構築するためのDevSecOpsプラクティスを体系的に採用する。

関連論文リスト

• Mind the Gap: Time-of-Check to Time-of-Use Vulnerabilities in LLM-Enabled Agents [4.303444472156151]
  大規模言語モデル(LLM)対応エージェントは、広範囲のアプリケーションで急速に出現している。 本研究は,LSM対応エージェントにおけるTOCTOU(time-of-use)脆弱性に関する最初の研究である。 我々は,このタイプの脆弱性を評価するために設計された,66の現実的なユーザタスクを備えたベンチマークTOCTOU-Benchを紹介する。
  論文  参考訳（メタデータ） (2025-08-23T22:41:49Z)
• OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
  OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。 従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。 ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
  論文  参考訳（メタデータ） (2025-07-08T16:18:54Z)
• CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
  大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。 既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。 我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• Llama-3.1-FoundationAI-SecurityLLM-Base-8B Technical Report [50.268821168513654]
  我々は,Llama 3.1アーキテクチャ上に構築された,サイバーセキュリティにフォーカスした大規模言語モデル(LLM)であるFoundation-Sec-8Bを紹介する。 我々は、Llama 3.1-70B と GPT-4o-mini がサイバーセキュリティ固有のタスクで一致していることを示し、確立された新しいサイバーセキュリティベンチマークと新しいサイバーセキュリティベンチマークの両方で評価した。 当社のモデルを一般公開することで、公開とプライベート両方のサイバーセキュリティ状況において、AI駆動ツールの進歩と採用を加速することを目指しています。
  論文  参考訳（メタデータ） (2025-04-28T08:41:12Z)
• Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
  デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。 本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。 私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
  論文  参考訳（メタデータ） (2025-04-24T12:06:11Z)
• HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
  大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。 最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。 我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
  論文  参考訳（メタデータ） (2024-09-10T12:01:43Z)
• Security Attacks on LLM-based Code Completion Tools [11.54818796372798]
  大きな言語モデル(LLM)は、コード補完機能が大きく進歩し、新しい世代のコード補完ツール(LCCT)を生み出した。 LCCTには固有の特徴があり、複数の情報ソースを入力として統合し、自然言語の相互作用に対するコード提案を優先順位付けする。 本稿では、これらの特徴を利用して、脱獄とデータ抽出攻撃の訓練という、2つの重大なセキュリティリスクに対する攻撃手法を開発する。
  論文  参考訳（メタデータ） (2024-08-20T17:00:04Z)
• Exploring Security Practices in Infrastructure as Code: An Empirical Study [54.669404064111795]
  クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。 スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。 セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
  論文  参考訳（メタデータ） (2023-08-07T23:43:32Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。