論文の概要: Unpacking Security Scanners for GitHub Actions Workflows

• arxiv url: http://arxiv.org/abs/2601.14455v1
• Date: Tue, 20 Jan 2026 20:25:11 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-22 21:27:50.143951
• Title: Unpacking Security Scanners for GitHub Actions Workflows
• Title（参考訳）: GitHub Actionsワークフローのためのセキュリティスキャナのアンパック
• Authors: Madjda Fares, Yogya Gamage, Benoit Baudry,
• Abstract要約: GitHub Actionsは広く使われているプラットフォームで、開発者はプロジェクトのビルドとデプロイを自動化することができる。 プラットフォームの人気が高まり続けており、近年のソフトウェアサプライチェーン攻撃のターゲットとなっている。 GitHub Actionsの強化を支援するために、いくつかのセキュリティスキャナが登場した。
• 参考スコア（独自算出の注目度）: 2.046588369793562
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: GitHub Actions is a widely used platform that allows developers to automate the build and deployment of their projects through configurable workflows. As the platform's popularity continues to grow, it has become a target of choice for recent software supply chain attacks. These attacks exploit excessive permissions, ambiguous versions, or the absence of artifact integrity checks to compromise workflows. In response to these attacks, several security scanners have emerged to help developers harden their workflows. In this paper, we perform the first systematic comparison of 9 GitHub Actions workflow security scanners. We compare them in terms of scope (which security weaknesses they target), detection capabilities (how many weaknesses they detect), and usability (how long they take to scan a workflow). To compare scanners on a common ground, we first establish a taxonomy of 10 security weaknesses that can occur in GitHub Actions workflows. Then, we run the scanners against a curated set of 596 workflows. Our study reveals that the landscape of GitHub Actions workflow security scanners is diverse, with both broad-scope tools and very focused ones. More importantly, we show that scanners interpret security weaknesses differently, leading to significant differences in the type and number of reported weaknesses. Based on this empirical evidence, we make actionable recommendations for developers to harden their GitHub Actions workflows.
• Abstract（参考訳）: GitHub Actionsは広く使われているプラットフォームで、開発者は設定可能なワークフローを通じてプロジェクトのビルドとデプロイを自動化することができる。 プラットフォームの人気が高まり続けており、近年のソフトウェアサプライチェーン攻撃のターゲットとなっている。 これらの攻撃は過剰なパーミッション、曖昧なバージョン、あるいはワークフローを妥協するためのアーティファクトの完全性チェックを悪用する。 これらの攻撃に応えて、開発者がワークフローを強化できるように、いくつかのセキュリティスキャナが登場した。 本稿では,9つのGitHub Actionsワークフローセキュリティスキャナの最初の体系的比較を行う。 対象とするセキュリティの弱点)、検出機能(検出する弱点の数)、ユーザビリティ(ワークフローのスキャンに要する時間)の観点で比較します。 一般的な場所でスキャナを比較するために、まずGitHub Actionsワークフローで起こりうる10のセキュリティ脆弱性の分類を確立します。 そして、私たちは596のワークフローのキュレートされたセットに対してスキャナを実行します。 私たちの研究によると、GitHub Actionsワークフローのセキュリティスキャナの状況は様々であり、広スコープツールと非常に焦点を絞っている。 さらに重要なことは、スキャナーがセキュリティの弱点を異なる方法で解釈し、報告された脆弱性の種類と数に大きな違いをもたらすことを示している。 この経験的な証拠に基づいて、開発者に対してGitHub Actionsワークフローの強化を推奨しています。

関連論文リスト

• Deep Dive into the Abuse of DL APIs To Create Malicious AI Models and How to Detect Them [3.8802542855314788]
  事前トレーニングされたAIモデルは、Hugging FaceやHubといったモデルハブから取得されることが多い。 これにより、攻撃者が悪意のあるコードをモデルに注入できるセキュリティリスクがもたらされる。 ファイルの読み取り/書き込みやネットワークの送/受信といったAPIの隠れた機能を悪用する方法を示す。
  論文  参考訳（メタデータ） (2026-01-08T03:30:20Z)
• Granite: Granular Runtime Enforcement for GitHub Actions Permissions [2.278720757613755]
  Graniteは、ジョブ内のステップレベルの粒度で、GitHub Actionsの詳細な権限を強制するプロキシベースのシステムです。 我々の分析では、52.7%の雇用がグラナイトによって許可の誤用から保護されていることが判明した。
  論文  参考訳（メタデータ） (2025-12-12T14:38:45Z)
• RedCodeAgent: Automatic Red-teaming Agent against Diverse Code Agents [70.24175620901538]
  コードエージェントは、強力なコード生成機能とコードインタプリタとの統合により、広く採用されている。 現在の静的安全性ベンチマークとレッドチームツールは、出現する現実世界のリスクシナリオを特定するのに不十分である。 我々はRedCodeAgentを提案する。RedCodeAgentは、多様なコードエージェントの脆弱性を体系的に発見するように設計された、最初の自動リピートエージェントである。
  論文  参考訳（メタデータ） (2025-10-02T22:59:06Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• GitHub's Copilot Code Review: Can AI Spot Security Flaws Before You Commit? [0.0]
  この研究は、セキュリティ脆弱性の検出においてGitHub Copilotが最近導入したコードレビュー機能の有効性を評価する。 期待に反して、私たちの結果は、Copilotのコードレビューが重大な脆弱性を検出するのに頻繁に失敗することを示している。 私たちの結果は、堅牢なソフトウェアセキュリティを保証するために、専用のセキュリティツールと手作業によるコード監査が引き続き必要であることを示している。
  論文  参考訳（メタデータ） (2025-09-17T02:56:21Z)
• OS-Harm: A Benchmark for Measuring Safety of Computer Use Agents [60.78202583483591]
  コンピュータ使用エージェントの安全性を計測する新しいベンチマークであるOS-Harmを紹介する。 OS-HarmはOSWorld環境上に構築されており、故意のユーザ誤用、インジェクション攻撃、モデル誤動作の3つのカテゴリでモデルをテストすることを目指している。 我々は、フロンティアモデルに基づいてコンピュータ利用エージェントを評価し、その安全性に関する洞察を提供する。
  論文  参考訳（メタデータ） (2025-06-17T17:59:31Z)
• "I wasn't sure if this is indeed a security risk": Data-driven Understanding of Security Issue Reporting in GitHub Repositories of Open Source npm Packages [8.360992461585308]
  この研究は、GitHubリポジトリ全体で報告された10,907,467件のnpmパッケージを収集した。 これらの問題に関連するタグは、セキュリティ関連の問題に0.13%しか存在しないことを示している。 手動解析のアプローチに続いて、高精度な機械学習モデルを構築し、セキュリティ関連の問題としてタグ付けされていない1,617,738件を特定した。
  論文  参考訳（メタデータ） (2025-06-09T13:11:35Z)
• Six Million (Suspected) Fake Stars in GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware [52.84746696418136]
  われわれは,GitHubにおける偽星の系統的,グローバル的,縦断的な測定を行った。 スケーラブルなツールであるStarScoutは、2019年から2024年の間に、すべてのGitHubメタデータにわたって、異常に主演する動作を検出することができる。 その結果,(1) 偽星関連活動は2024年に急速に急増し,(2) 偽星キャンペーンのアカウントやレポジトリは極めて自明な活動パターンを持ち,ほとんどの偽星は短命のフィッシングマルウェアレポジトリを促進するために使用されている。
  論文  参考訳（メタデータ） (2024-12-18T03:03:58Z)
• On the effectiveness of Large Language Models for GitHub Workflows [9.82254417875841]
  大規模言語モデル(LLM)は、様々なソフトウェア開発タスクにおいてその効果を実証している。 異なるレベルのプロンプトを持つ5つのワークフロー関連タスクにおけるLLMの有効性を理解するための、最初の総合的研究を行う。 現状のLLMと細調整した3種類のLLMの評価結果から,LLMの現在の有効性と欠点について,様々な興味深い知見が得られた。
  論文  参考訳（メタデータ） (2024-03-19T05:14:12Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。