論文の概要: A Longitudinal Study of Usability in Identity-Based Software Signing

• arxiv url: http://arxiv.org/abs/2603.17133v1
• Date: Tue, 17 Mar 2026 20:53:46 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-19 18:32:57.392919
• Title: A Longitudinal Study of Usability in Identity-Based Software Signing
• Title（参考訳）: アイデンティティに基づくソフトウェア署名におけるユーザビリティに関する縦断的研究
• Authors: Kelechi G. Kalu, Hieu Tran, Santiago Torres-Arias, Sooyeon Jeong, James C. Davis,
• Abstract要約: アイデンティティベースのソフトウェア署名ツールは、長期的なキー管理の運用上の負担を軽減しつつ、ソフトウェアアーチファクトの成果化を目指している。 実際にユーザビリティの問題が発生するかという、ツール間の縦断的な証拠は限られている。 我々は、5つのアイデンティティベースの署名エコシステムのマイニング・ソフトウェア・リポジトリの研究を行った。
• 参考スコア（独自算出の注目度）: 13.315105014043423
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Identity-based software signing tools aim to make software artifact provenance verifiable while reducing the operational burden of long-lived key management. However, there is limited cross-tool longitudinal evidence about which usability problems arise in practice and how those problems evolve as tools mature. This gap matters because unusable signing and verification workflows can lead to incomplete adoption, misconfiguration, or skipped verification, undermining intended integrity guarantees. We conducted the first mining-software-repositories study of five open-source identity-based signing ecosystems: Sigstore, OpenPubKey, HashiCorp Vault, Keyfactor, and Notary v2. We analyzed approximately 3,900 GitHub issues from Nov. 2021 to Nov. 2025. We coded each issue for the reported usability concern and the implicated architectural component, and compared patterns across tools and over time. Across ecosystems, reported concerns concentrate in verification workflows, policy and configuration surfaces, and integration boundaries. Longitudinal Poisson trend analysis shows substantial declines in reported issues for most ecosystems. However, across usability themes, workflow- and documentation-related concerns decline unevenly across tools and concern types, and verification workflows and configuration surfaces remain persistent friction points. These results indicate that identity-based signing reduces some usability burdens while relocating complexity to verification semantics, policy configuration, and deployment integration. Designing future signing ecosystems therefore requires treating verification semantics and release workflows as first-class usability targets rather than peripheral integration concerns.
• Abstract（参考訳）: アイデンティティベースのソフトウェア署名ツールは、長期的なキー管理の運用上の負担を軽減しつつ、ソフトウェアアーチファクトの成果を検証可能にすることを目的としています。 しかし、実際にユーザビリティの問題が発生するか、ツールが成熟するにつれてそれらの問題がどう進化するかについては、クロスツールの縦断的な証拠が限られている。 このギャップは、使用不能な署名と検証のワークフローが不完全な採用や設定ミス、あるいは無効な検証につながる可能性があるため、意図した完全性保証を損なう可能性があるためである。 我々は、Sigstore、OpenPubKey、HashiCorp Vault、Keyfactor、Notary v2の5つのオープンソースIDベースの署名エコシステムの最初のマイニング・ソフトウェア・リポジトリ調査を行った。 私たちは2021年11月から2025年11月までに約3,900のGitHub問題を分析しました。 報告されたユーザビリティに関する懸念と関連するアーキテクチャコンポーネントに関する各問題をコーディングし、ツールや時間とともにパターンを比較しました。 エコシステム全体にわたって、報告された懸念は、検証ワークフロー、ポリシーと設定面、統合バウンダリに集中している。 縦断ポアソンの傾向分析は、ほとんどの生態系で報告された問題において著しく減少していることを示している。 しかしながら、ユーザビリティのテーマ全体において、ワークフローやドキュメント関連の懸念は、ツールや関心タイプ全体で不均一に減少し、検証ワークフローと設定面は、永続的な摩擦点のままである。 これらの結果は、IDベースの署名は、複雑性を検証セマンティクス、ポリシー設定、デプロイメント統合に移動させながら、いくつかのユーザビリティの負担を軽減することを示している。 したがって、将来の署名エコシステムを設計するには、周辺統合の懸念よりも、検証セマンティクスとリリースワークフローをファーストクラスのユーザビリティターゲットとして扱う必要がある。

関連論文リスト

• EvoClaw: Evaluating AI Agents on Continuous Software Evolution [47.49468375065129]
  ノイズの多いコミットログから検証可能なマイルストーンDAGを再構築するエージェントパイプラインであるDeepCommitを紹介する。 これらの実行可能なシーケンスは、エージェントがシステムの完全性を維持し、エラーの蓄積を制限する必要がある新しいベンチマークであるEvoClawを可能にする。
  論文  参考訳（メタデータ） (2026-03-13T03:20:40Z)
• Why Does the LLM Stop Computing: An Empirical Study of User-Reported Failures in Open-Source LLMs [50.075587392477935]
  オープンソースのDeepSeek、Llama、Qwenのエコシステムから、705の現実世界の失敗に関する大規模な実証的研究を行った。 ホワイトボックスオーケストレーションは、モデルアルゴリズムの欠陥からデプロイメントスタックのシステム的脆弱性へと、信頼性のボトルネックを移動させます。
  論文  参考訳（メタデータ） (2026-01-20T06:42:56Z)
• Overcoming Joint Intractability with Lossless Hierarchical Speculative Decoding [58.92526489742584]
  我々は無益な無益な提案をする。 承認されたトークンの数を大幅に増加させる検証方法。 HSDは様々なモデルファミリやベンチマークの受け入れ率に一貫した改善をもたらすことを示す。
  論文  参考訳（メタデータ） (2026-01-09T11:10:29Z)
• Process-based Indicators of Vulnerability Re-Introducing Code Changes: An Exploratory Case Study [2.204918347869259]
  この作業は、脆弱性の再導入の理解と緩和におけるコードの変更とともに、プロセスメトリクスの重要な役割を強調します。 我々のアプローチは、再導入が一つの孤立した行動の結果であることは滅多にないが、累積的な開発活動や社会技術的条件から生じることを強調している。
  論文  参考訳（メタデータ） (2025-10-30T16:45:36Z)
• Automated Vulnerability Validation and Verification: A Large Language Model Approach [7.482522010482827]
  本稿では、生成AI、特に大規模言語モデル(LLM)を利用したエンドツーエンド多段階パイプラインを提案する。 本手法は,国立脆弱性データベース(National Vulnerability Database)のCVE開示情報から抽出する。 これは、Retrieval-Augmented Generation (RAG)を使用して、外部の公開知識(例えば、脅威アドバイザリ、コードスニペット)で拡張する。 パイプラインは生成されたアーティファクトを反復的に洗練し、テストケースでのアタック成功を検証し、複雑なマルチコンテナセットアップをサポートする。
  論文  参考訳（メタデータ） (2025-09-28T19:16:12Z)
• Predicting Abandonment of Open Source Software Projects with An Integrated Feature Framework [15.50732865972961]
  オープンソースソフトウェア(OSS)は、現代のソフトウェア開発の基盤であるが、OSSプロジェクトの放棄が増加し、世界的なサプライチェーンが脅かされている。 本研究では,OSSプロジェクトの放棄を2つのアプローチで確実に検出することで,これらの課題に対処する。 この基盤の上に構築され、ユーザ中心、メンテナ中心、プロジェクトの進化的特徴をキャプチャする、放棄予測のための統合されたマルチパースペクティブな機能フレームワークを導入します。 私たちの仕事は、大規模なOSSエコシステムにおける放棄リスクを理解し管理するための再現性、拡張性、実践者指向のサポートを提供します。
  論文  参考訳（メタデータ） (2025-07-29T10:45:24Z)
• Why Johnny Signs with Next-Generation Tools: A Usability Case Study of Sigstore [10.88933151812096]
  我々は次世代署名の先駆的かつ広く採用されているSigstoreのユーザビリティスタディを行った。 本研究では,(1)実践者のツール選択に伴う問題点とメリット,(2)署名ツールの使用が時間とともにどのように発展してきたか,(3)ユーザビリティを懸念する文脈について検討した。 本研究は,次世代署名ツールのユーザビリティ要因を解明し,ツールメーカー,組織,研究コミュニティに推奨するものである。
  論文  参考訳（メタデータ） (2025-03-01T00:59:18Z)
• Understanding the Challenges of Deploying Live-Traceability Solutions [45.235173351109374]
  SAFA.aiは、ほぼリアルタイムな環境で自動トレーサビリティを提供する、プロジェクト固有モデルを微調整するスタートアップである。 本稿では,ソフトウェアトレーサビリティを商業化する上での課題について述べる。
  論文  参考訳（メタデータ） (2023-06-19T14:34:16Z)
• Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。