論文の概要: DEPTEX: Organization-First, Open Source Dependency Risk Monitoring
- arxiv url: http://arxiv.org/abs/2605.00179v1
- Date: Thu, 30 Apr 2026 19:54:25 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-04 17:43:28.731673
- Title: DEPTEX: Organization-First, Open Source Dependency Risk Monitoring
- Title(参考訳): DEPTEX: 組織ファーストでオープンソースの依存性リスク監視
- Authors: Henry Ruckman-Utting, Vrushal Nedungadi, Taiga Okuma, LeTian Wang, Stephen Ehebald, Mohammad A. Tayebi,
- Abstract要約: Deptexは、サプライチェーンのリスクを創発的なものとして扱う、組織初のグラフベースのプラットフォームである。
私たちは、サプライチェーンのリスクを創発的に扱う組織ファーストのグラフベースのプラットフォームであるDeptexを紹介します。
- 参考スコア(独自算出の注目度): 3.491982408677679
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Open-source software (OSS) dependencies introduce systemic risks that are difficult to manage at scale. Existing Software Composition Analysis (SCA) and reachability tools generate severe alert fatigue by treating risk as an intrinsic component property, ignoring semantic context and forcing enterprises into rigid compliance frameworks. We present Deptex, an organization-first, graph-based platform treating supply chain risk as emergent. Deptex introduces Execution Path Dominance (EPD), fusing Code Property Graph (CPG) slicing with Large Language Model (LLM) semantic verification to calculate a vulnerability's true operational blast radius. To handle bespoke compliance, Deptex abstracts governance into a programmable ``As Code'' engine, enabling security teams to natively enforce dynamic pull request policies, custom asset tiers, and external API integrations. By shifting from reactive scanning to context-aware governance, Deptex enables proactive, efficient, and aligned supply chain risk management.
- Abstract(参考訳): オープンソースソフトウェア(OSS)の依存関係は、大規模に管理するのが困難なシステム上のリスクを導入します。
既存のソフトウェア構成分析(SCA)とリーチビリティツールは、リスクを本質的なコンポーネント特性として扱い、意味的コンテキストを無視し、企業を厳格なコンプライアンスフレームワークに強制することで、重大なアラート疲労を生じさせます。
私たちは、サプライチェーンのリスクを創発的に扱う組織ファーストのグラフベースのプラットフォームであるDeptexを紹介します。
DeptexはExecution Path Dominance (EPD)を導入し、脆弱性の真の運用的爆発半径を計算するために、Large Language Model (LLM)セマンティックバリデーションとスライシングするコードプロパティグラフ(CPG)を融合させた。
のエンジンにガバナンスを抽象化し、セキュリティチームが動的プルリクエストポリシー、カスタムアセット層、外部API統合をネイティブに実施できるようにする。
リアクティブスキャンからコンテキスト対応のガバナンスに移行することで、Deptexはプロアクティブで効率的、アライメントされたサプライチェーンのリスク管理を可能にします。
関連論文リスト
- SAGE-LLM: Towards Safe and Generalizable LLM Controller with Fuzzy-CBF Verification and Graph-Structured Knowledge Retrieval for UAV Decision [46.089736018739295]
大型言語モデル (LLM) には、ドメイン固有のUAV制御知識と正式な安全保証がない。
本稿では,LLMに基づく列車自由な2層決定アーキテクチャを提案し,低レベルの高精度制御と高レベルの安全計画を統合する。
論文 参考訳(メタデータ) (2026-02-27T06:41:04Z) - Steering Externalities: Benign Activation Steering Unintentionally Increases Jailbreak Risk for Large Language Models [62.16655896700062]
活性化ステアリングは大規模言語モデル(LLM)の有用性を高める技術である
重要かつ過度に調査された安全リスクを無意識に導入することを示します。
実験によると、これらの介入は強制乗算器として機能し、ジェイルブレイクに新たな脆弱性を発生させ、標準ベンチマークで攻撃成功率を80%以上向上させる。
論文 参考訳(メタデータ) (2026-02-03T12:32:35Z) - ORCA -- An Automated Threat Analysis Pipeline for O-RAN Continuous Development [57.61878484176942]
Open-Radio Access Network (O-RAN)は、多くのソフトウェアコンポーネントをクラウドのようなデプロイメントに統合し、これまで考えられていなかったセキュリティ脅威に無線アクセスネットワークを開放する。
現在の脆弱性評価の実践は、しばしば手動、労働集約、主観的な調査に依存しており、脅威分析の不整合につながる。
人間の介入や関連するバイアスを最小限に抑えるために,自然言語処理(NLP)を活用する自動パイプラインを提案する。
論文 参考訳(メタデータ) (2026-01-20T07:31:59Z) - CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents [60.98294016925157]
AIエージェントは、悪意のあるコンテンツがエージェントの行動をハイジャックして認証情報を盗んだり、金銭的損失を引き起こすような、インジェクション攻撃に弱い。
CUAのためのシングルショットプランニングでは、信頼できるプランナーが、潜在的に悪意のあるコンテンツを観察する前に、条件付きブランチで完全な実行グラフを生成する。
このアーキテクチャ分離は命令インジェクションを効果的に防止するが、ブランチステアリング攻撃を防ぐには追加の対策が必要であることを示す。
論文 参考訳(メタデータ) (2026-01-14T23:06:35Z) - Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。
LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。
モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
論文 参考訳(メタデータ) (2026-01-12T21:31:38Z) - An Ontology-Based Approach to Security Risk Identification of Container Deployments in OT Contexts [1.826848871278733]
OTコンテナのデプロイに対するセキュリティリスクの識別には、ハイブリッドIT/OTアーキテクチャや、ステークホルダの知識の断片化、継続的システム変更といった課題がある。
本稿では,CSRO(Container Security Risk Ontology)として実装されたモデルベースのアプローチを提案する。
CSROは、敵行動、コンテキスト仮定、アタックシナリオ、リスクアセスメントルール、コンテナセキュリティアーティファクトの5つの重要なドメインを統合している。
論文 参考訳(メタデータ) (2026-01-07T15:20:19Z) - An LLM-based Quantitative Framework for Evaluating High-Stealthy Backdoor Risks in OSS Supply Chains [16.099037403682594]
オープンソースのソフトウェアサプライチェーンは、効率的で便利なエンジニアリングプラクティスに貢献しています。
基盤となる依存関係のメンテナンスの欠如とコミュニティ監査の不十分は、ソースコードのセキュリティを確保する上での課題を生み出します。
オープンソースソフトウェアにおけるバックドアリスク評価のためのきめ細かいプロジェクト評価フレームワークを提案する。
論文 参考訳(メタデータ) (2025-11-17T13:10:36Z) - Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance [11.431576667955268]
従来のリスク管理は、技術的なツールに焦点を絞ったものだった。
目的 ->脅威 ->脆弱性 ->緩和 (OTVM)
これは単なる技術的チェックリストを超越する全体論的決定モデルを提供する。
論文 参考訳(メタデータ) (2025-10-29T18:27:42Z) - DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。
この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。
本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
論文 参考訳(メタデータ) (2025-06-13T05:01:09Z) - VulRG: Multi-Level Explainable Vulnerability Patch Ranking for Complex Systems Using Graphs [20.407534993667607]
この作業では、脆弱性パッチの優先順位付けのためのグラフベースのフレームワークを導入している。
多様なデータソースとメトリクスを普遍的に適用可能なモデルに統合する。
洗練されたリスクメトリクスは、コンポーネント、アセット、システムレベルの詳細な評価を可能にします。
論文 参考訳(メタデータ) (2025-02-16T14:21:52Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。