論文の概要: Aligning Security Compliance and DevOps: A Longitudinal Study

• arxiv url: http://arxiv.org/abs/2512.14453v1
• Date: Tue, 16 Dec 2025 14:43:14 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-17 16:49:26.750998
• Title: Aligning Security Compliance and DevOps: A Longitudinal Study
• Title（参考訳）: セキュリティコンプライアンスとDevOpsの調整 - 縦断的研究
• Authors: Fabiola Moyón, Florian Angermeir, Daniel Mendez, Tony Gorschek, Markus Voggenreiter, Pierre-Louis Bonvin,
• Abstract要約: RefAは、IEC 62443-4-1標準に基づいた、セキュリティ準拠のDevOpsライフサイクルの規範モデルである。 我々は、RefAがいかにしてセキュリティコンプライアンスの知識を製品開発チームに移行させるかを実証する。
• 参考スコア（独自算出の注目度）: 5.128220263390701
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Companies adopt agile methodologies and DevOps to facilitate efficient development and deployment of software-intensive products. This, in turn, introduces challenges in relation to security standard compliance traditionally following a more linear workflow. This is especially a challenge for the engineering of products and services associated with critical infrastructures. To support companies in their transition towards DevOps, this paper presents an adaptation of DevOps according to security regulations and standards. We report on our longitudinal study at Siemens AG, consisting of several individual sub-studies in the inception, validation, and initial adoption of our framework based on RefA as well as the implications for practice. RefA is a prescriptive model of a security compliant DevOps lifecycle based on the IEC 62443-4-1 standard. The overall framework is aimed at professionals, not only security experts, being able to use it on implementing DevOps processes while remaining compliant with security norms. We demonstrate how RefA facilitates the transfer of security compliance knowledge to product development teams. This knowledge transfer supports the agility aim of ensuring that cross-functional teams have all the skills needed to deliver the compliant products.
• Abstract（参考訳）: 企業はアジャイル方法論とDevOpsを採用して、ソフトウェア集約製品の開発とデプロイを効率化する。 これは、伝統的によりリニアなワークフローに従って、セキュリティ標準のコンプライアンスに関する課題を提起する。 これは特に、重要なインフラストラクチャに関連する製品やサービスのエンジニアリング上の課題である。 企業によるDevOpsへの移行を支援するため、セキュリティ規則と標準に従ってDevOpsの適応を示す。 我々はSiemens AGにおける縦断的研究について報告し、RefAに基づくフレームワークの創発、検証、初期導入に関するいくつかのサブ研究と実践の意味について報告する。 RefAは、IEC 62443-4-1標準に基づいた、セキュリティ準拠のDevOpsライフサイクルの規範モデルである。 全体的なフレームワークは、セキュリティ専門家だけでなく、プロフェッショナルを対象としており、セキュリティ規範に準拠したまま、DevOpsプロセスの実装に使用することができる。 我々は、RefAがいかにしてセキュリティコンプライアンスの知識を製品開発チームに移行させるかを実証する。 この知識伝達は、クロスファンクショナルチームがコンプライアンス製品を提供するために必要なスキルをすべて持っていることを保証するという、アジリティの目標を支持します。

関連論文リスト

• A Scalable Framework for the Management of STPA Requirements: a Case Study on eVTOL Operations [1.3898092652070853]
  システム理論プロセス分析(STPA)は複雑なシステムを分析するための推奨手法である。 要求の管理と優先順位付けのための構造化されたフレームワークが存在しないことは、迅速な開発環境における課題を提起する。 本稿では,ASTPAの要件を優先するスケーラブルなフレームワークを提案する。
  論文  参考訳（メタデータ） (2025-08-22T13:26:00Z)
• Bridging the Mobile Trust Gap: A Zero Trust Framework for Consumer-Facing Applications [51.56484100374058]
  本稿では,信頼できないユーザ制御環境で動作するモバイルアプリケーションを対象としたZero Trustモデルを提案する。 デザインサイエンスの方法論を用いて、この研究は、実行時の信頼の強制をサポートする6つのピラーフレームワークを導入した。 提案したモデルは,デプロイ前コントロールを越えてモバイルアプリケーションをセキュアにするための,実用的で標準に準拠したアプローチを提供する。
  論文  参考訳（メタデータ） (2025-08-20T18:42:36Z)
• Incorporating Verification Standards for Security Requirements Generation from Functional Specifications [12.428384271131407]
  F2SRD(Function to Security Requirements Derivation)は、機能仕様からセキュリティ要件(SR)を積極的に引き出す自動アプローチである。 まず、FRとVRペアのカスタムデータベースでトレーニングされたVRレトリバーを開発し、ASVSから適用可能なVRを積極的に選択できるようにします。 第二に、これらのVRは、SRを生成する際にGPT4を誘導する構造化プロンプトを構築するために使用される。
  論文  参考訳（メタデータ） (2025-05-17T05:47:46Z)
• SAFER: Advancing Safety Alignment via Efficient Ex-Ante Reasoning [51.78514648677898]
  我々は,eFficient Ex-Ante Reasoningによる安全アライメントの枠組みであるSAFERを提案する。 提案手法は,初期評価,ルール検証,経路校正などを通じて,構造化されたex-Ante推論をインスタンス化する。 複数のオープンソース LLM の実験により,SAFER は有用性と応答効率を保ちながら安全性を著しく向上することが示された。
  論文  参考訳（メタデータ） (2025-04-03T16:07:38Z)
• Integrating DAST in Kanban and CI/CD: A Real World Security Case Study [2.3480418671346164]
  Webアプリケーションの攻撃と悪用された脆弱性が増加している。 現代の開発プラクティスにセキュリティを統合することがますます重要になっている。 現代の開発プラクティスでセキュリティプラクティスやアクティビティを採用するのは難しいです。
  論文  参考訳（メタデータ） (2025-03-27T19:46:05Z)
• AISafetyLab: A Comprehensive Framework for AI Safety Evaluation and Improvement [73.0700818105842]
  我々は、AI安全のための代表的攻撃、防衛、評価方法論を統合する統合されたフレームワークとツールキットであるAISafetyLabを紹介する。 AISafetyLabには直感的なインターフェースがあり、開発者はシームレスにさまざまなテクニックを適用できる。 我々はヴィクナに関する実証的研究を行い、異なる攻撃戦略と防衛戦略を分析し、それらの比較効果に関する貴重な洞察を提供する。
  論文  参考訳（メタデータ） (2025-02-24T02:11:52Z)
• ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
  安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。 これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。 我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
  論文  参考訳（メタデータ） (2024-11-21T18:26:05Z)
• Continuous risk assessment in secure DevOps [0.24475591916185502]
  私たちは、組織内のリスク関連アクティビティとの関わりから、セキュアなDevOpsが利益を得られるかについて論じています。 我々は、リスクアセスメント(RA)、特に脅威モデリング(TM)を組み合わせることに集中し、ソフトウェアライフサイクルの早期にセキュリティ上の配慮を適用します。
  論文  参考訳（メタデータ） (2024-09-05T10:42:27Z)
• Safety through Permissibility: Shield Construction for Fast and Safe Reinforcement Learning [57.84059344739159]
  シールドディング」は、強化学習(RL)の安全性を強制する一般的な手法である 安全と遮蔽構造に対処する新しい許容性に基づく枠組みを提案する。
  論文  参考訳（メタデータ） (2024-05-29T18:00:21Z)
• Automated Security Findings Management: A Case Study in Industrial DevOps [3.7798600249187295]
  本稿では,産業用DevOpsプロジェクトにおけるセキュリティ発見の管理手法を提案する。 この手法の例として,セキュリティ発見の自動管理のための意味知識基盤であるSecurity Flamaを開発した。
  論文  参考訳（メタデータ） (2024-01-12T14:35:51Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。