Fugu-MT 論文翻訳(概要): Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance

論文の概要: Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance

arxiv url: http://arxiv.org/abs/2510.25882v1
Date: Wed, 29 Oct 2025 18:27:42 GMT
ステータス: 翻訳完了
システム内更新日: 2025-10-31 16:05:09.538025
Title: Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance
Title（参考訳）: 社内の脆弱性と外部の脅威 - エンタープライズオープンソースリスクガバナンスのための基盤となるフレームワーク
Authors: Wenhao Yang, Minghui Zhou, Daniel Izquierdo Cortázar, Yehui Wang,
Abstract要約: オープンソースとのエンゲージメントは、戦術的な採用から戦略的な深い統合へと進化し、単なるコードを超えた複雑なリスク環境に公開しています。技術的ツールに焦点を絞った従来のリスク管理は、上流の“サイレントフィックス”やコミュニティの対立、あるいは突然のライセンス変更といったシステム上の脅威に対して、構造的に不適切です。制御不能な外部脅威(例えば、キー依存における突然のライセンス変更)は、制御不能な内部脆弱性を利用する場合にのみ重大なリスクとなる。
参考スコア（独自算出の注目度）: 11.431576667955268
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Enterprise engagement with open source has evolved from tactical adoption to strategic deep integration, exposing them to a complex risk landscape far beyond mere code. However, traditional risk management, narrowly focused on technical tools, is structurally inadequate for systemic threats like upstream "silent fixes", community conflicts, or sudden license changes, creating a dangerous governance blind spot. To address this governance vacuum and enable the necessary shift from tactical risk management to holistic risk governance, we conducted a grounded theory study with 15 practitioners to develop a holistic risk governance framework. Our study formalizes an analytical framework built on a foundational risk principle: an uncontrollable External Threat (e.g., a sudden license change in a key dependency) only becomes a critical risk when it exploits a controllable Internal Vulnerability (e.g., an undefined risk appetite for single-vendor projects), which then amplifies the impact.The framework operationalizes this principle through a clear logical chain: "Objectives -> Threats -> Vulnerabilities -> Mitigation" (OTVM). This provides a holistic decision model that transcends mere technical checklists. Based on this logic, our contributions are: (1) a "Strategic Objectives Matrix" to clarify goals; (2) a systematic dual taxonomy of External Threats (Ex-Tech, Ex-Comm, Ex-Eco) and Internal Vulnerabilities (In-Strat, In-Ops, In-Tech); and (3) an actionable mitigation framework mapping capability-building to these vulnerabilities. The framework's analytical utility was validated by three industry experts through retrospective case studies on real-world incidents. This work provides a novel diagnostic lens and a systematic path for enterprises to shift from reactive "firefighting" to proactively building an organizational "immune system".
Abstract（参考訳）: オープンソースとのエンゲージメントは、戦術的な採用から戦略的な深い統合へと進化し、単なるコードを超えた複雑なリスク環境に公開しています。しかし、技術的なツールに焦点を絞った従来のリスク管理は、上流の“サイレントフィックス”やコミュニティの対立、あるいは突然のライセンス変更といったシステム上の脅威に対して構造的に不適切であり、危険なガバナンスの盲点を生み出します。このガバナンスの掃除に対処し、戦術的リスク管理から全体論的リスクガバナンスへ必要な移行を可能にするため、我々は15人の実践者とともに総合的リスクガバナンスフレームワークを開発するための基礎研究を行った。制御不能な外部脅威(例えば、キー依存における突然のライセンス変更)は、制御不能な内部脆弱性(例えば、単一ベンダプロジェクトに対する未定義のリスク食欲)を利用する場合にのみ重大なリスクとなり、その影響を増幅する。これは単なる技術的チェックリストを超越する全体論的決定モデルを提供する。 2)外部脅威(Ex-Tech, Ex-Comm, Ex-Eco)と内部脆弱性(In-Strat, In-Ops, In-Tech)の系統的な二重分類,(3)これらの脆弱性にマッピングする実行可能な緩和フレームワーク。このフレームワークの分析ユーティリティは、現実世界のインシデントに関するケーススタディを通じて、3つの業界の専門家によって検証された。この研究は、新たな診断レンズと、企業がリアクティブな"ファイアファイアファイアウォール"から、積極的に組織的な"免疫システム"を構築するための体系的なパスを提供する。

論文の概要: Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance

関連論文リスト