Fugu-MT 論文翻訳(概要): Towards Socio-Technical Topology-Aware Adaptive Threat Detection in Software Supply Chains

論文の概要: Towards Socio-Technical Topology-Aware Adaptive Threat Detection in Software Supply Chains

arxiv url: http://arxiv.org/abs/2510.21452v1
Date: Fri, 24 Oct 2025 13:30:10 GMT
ステータス: 翻訳完了
システム内更新日: 2025-10-28 09:00:15.488327
Title: Towards Socio-Technical Topology-Aware Adaptive Threat Detection in Software Supply Chains
Title（参考訳）: ソフトウェアサプライチェーンにおける社会技術的トポロジ-適応型脅威検出に向けて
Authors: Thomas Welsh, Kristófer Finnsson, Brynjólfur Stefánsson, Helmut Neukirchen,
Abstract要約: ソフトウェアサプライチェーン(ソフトウェアサプライチェーン、英: Software supply chain、SSC)は、動的、異質な技術的、社会的なコンポーネントからなる複雑なシステムである。 SSCに対する攻撃は増加しているが、その複雑さのために広範囲にわたる脆弱性分析は難しい。我々は、開発者とソフトウェア分析、分散化適応、およびソフトウェアサプライチェーンセキュリティ研究のためのテストベッドの必要性を考慮して、このビジョンを達成するための課題と研究の方向性を特定する。
参考スコア（独自算出の注目度）: 0.0
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Software supply chains (SSCs) are complex systems composed of dynamic, heterogeneous technical and social components which collectively achieve the production and maintenance of software artefacts. Attacks on SSCs are increasing, yet pervasive vulnerability analysis is challenging due to their complexity. Therefore, threat detection must be targeted, to account for the large and dynamic structure, and adaptive, to account for its change and diversity. While current work focuses on technical approaches for monitoring supply chain dependencies and establishing component controls, approaches which inform threat detection through understanding the socio-technical dynamics are lacking. We outline a position and research vision to develop and investigate the use of socio-technical models to support adaptive threat detection of SSCs. We motivate this approach through an analysis of the XZ Utils attack whereby malicious actors undermined the maintainers' trust via the project's GitHub and mailing lists. We highlight that monitoring technical and social data can identify trends which indicate suspicious behaviour to then inform targeted and intensive vulnerability assessment. We identify challenges and research directions to achieve this vision considering techniques for developer and software analysis, decentralised adaptation and the need for a test bed for software supply chain security research.
Abstract（参考訳）: ソフトウェアサプライチェーン(ソフトウェアサプライチェーン、英: Software supply chain、SSC)は、ソフトウェアアーチファクトの生産とメンテナンスを総合的に達成する、動的で異種な技術的および社会的コンポーネントからなる複雑なシステムである。 SSCに対する攻撃は増加しているが、その複雑さのために広範囲にわたる脆弱性分析は難しい。したがって、脅威検出は、大規模で動的な構造を考慮に入れ、適応的に、その変化と多様性を考慮に入れなければならない。現在の研究は、サプライチェーンの依存関係を監視し、コンポーネント制御を確立するための技術的なアプローチに焦点を当てているが、社会技術的ダイナミクスを理解することによって脅威を検出するアプローチには欠けている。本稿では,SSCの適応的脅威検出を支援するための社会技術モデルの開発と利用に関する立場と研究ビジョンについて概説する。我々は、XZ Utils攻撃の分析を通じてこのアプローチを動機付け、悪質なアクターがプロジェクトのGitHubとメーリングリストを通じてメンテナの信頼を弱めた。技術的および社会的データをモニタリングすることで、不審な振る舞いを示す傾向を特定し、ターゲットと集中的な脆弱性評価を通知できることを強調した。我々は、開発者とソフトウェア分析、分散化適応、およびソフトウェアサプライチェーンセキュリティ研究のためのテストベッドの必要性を考慮して、このビジョンを達成するための課題と研究の方向性を特定する。

関連論文リスト

SoK: Advances and Open Problems in Web Tracking [71.54586748169943]
Webトラッキングは、パーソナライズされた広告とコンバージョン追跡を可能にする、広範かつ不透明なプラクティスである。 Webトラッキングは、広告業界の変化、ブラウザによるアンチトラッキング対策の導入、新たなプライバシー規制の実施などによって、かつての世代の変革が進んでいる。このシステム化・オブ・ナレッジ(SoK)は、この幅広い研究を統合することを目的としており、近代的で急速に進化するWebトラッキングのランドスケープを形成するための技術的なメカニズム、対策、および規制の包括的概要を提供する。
論文参考訳（メタデータ） (2025-06-16T23:30:54Z)
Towards Safety and Security Testing of Cyberphysical Power Systems by Shape Validation [42.350737545269105]
サイバー物理パワーシステムの複雑さは攻撃面を大きくし悪質なアクターに悪用される我々は,これらのリスクを,サイバーパワーシステムを記述する宣言的アプローチで満たし,セキュリティと安全性の制御を自動的に評価することを提案する。
論文参考訳（メタデータ） (2025-06-14T12:07:44Z)
Expert-in-the-Loop Systems with Cross-Domain and In-Domain Few-Shot Learning for Software Vulnerability Detection [38.083049237330826]
本研究では,CWE(Common Weaknessions)を用いたPythonコードの識別をシミュレーションすることにより,ソフトウェア脆弱性評価におけるLLM(Large Language Models)の利用について検討する。その結果,ゼロショットプロンプトは性能が低いが,少数ショットプロンプトは分類性能を著しく向上させることがわかった。モデル信頼性、解釈可能性、敵の堅牢性といった課題は、将来の研究にとって重要な領域のままである。
論文参考訳（メタデータ） (2025-06-11T18:43:51Z)
Cyber Defense Reinvented: Large Language Models as Threat Intelligence Copilots [36.809323735351825]
CYLENSは、大規模言語モデル(LLM)を利用したサイバー脅威情報通信システムである。 CYLENSは、脅威管理ライフサイクル全体を通じてセキュリティ専門家を支援するように設計されている。脅威帰属、文脈化、検出、相関、優先順位付け、修復をサポートする。
論文参考訳（メタデータ） (2025-02-28T07:16:09Z)
Beyond the Surface: An NLP-based Methodology to Automatically Estimate CVE Relevance for CAPEC Attack Patterns [42.63501759921809]
本稿では,自然言語処理(NLP)を利用して,共通脆弱性・暴露(CAPEC)脆弱性と共通攻撃パターン・分類(CAPEC)攻撃パターンを関連付ける手法を提案する。実験による評価は,最先端モデルと比較して優れた性能を示した。
論文参考訳（メタデータ） (2025-01-13T08:39:52Z)
SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
論文参考訳（メタデータ） (2024-05-23T18:53:48Z)
Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
論文参考訳（メタデータ） (2024-03-08T02:01:47Z)
DevPhish: Exploring Social Engineering in Software Supply Chain Attacks on Developers [0.3754193239793766]
敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
論文参考訳（メタデータ） (2024-02-28T15:24:43Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。