論文の概要: Security-First Approach to API Pipeline Development with Zero-Trust Architecture

• arxiv url: http://arxiv.org/abs/2606.09062v1
• Date: Mon, 08 Jun 2026 05:56:12 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-06-09 14:42:06.722289
• Title: Security-First Approach to API Pipeline Development with Zero-Trust Architecture
• Title（参考訳）: Zero-TrustアーキテクチャによるAPIパイプライン開発へのセキュリティファーストアプローチ
• Authors: Mahima Agarwal, Keshav Ranjan,
• Abstract要約: ソフトウェア脆弱性の記録は引き続き加速している。 同時に、APIの利用は、侵害の主要なベクタになっている。 本稿では,APIパイプライン開発のための総合的な"セキュリティファースト"フレームワークを提案する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Modern enterprises face an accelerating onslaught of API-targeted threats amid a rapidly expanding attack surface. Record volumes of software vulnerabilities continue to accelerate dramatically, with 28,818 CVEs disclosed in 2023 (a 38% jump from 2022) and 40,009 CVEs in 2024 (another 38% increase), while the average time-to-exploit (TTE) of new flaws shrank to mere days (approximately 5 days in 2023, down from 32 days in 2021). At the same time, API usage dominates web traffic and has become a primary vector for breaches - 99% of organizations experienced API security incidents in the last year, with 22% suffering actual data breaches via APIs (based on industry vendor research). This paper proposes a comprehensive "security-first" framework for API pipeline development, leveraging Zero-Trust Architecture principles within DevSecOps practices to counter these trends. We introduce a five-pillar approach encompassing Governance & Planning, Secure Design, Continuous Testing, Pipeline Controls, and Runtime Protection, aligned with industry standards (OWASP API Security Top 10 2023, NIST Secure Software Development Framework) and recent cybersecurity advisories. The results show significant improvements in vulnerability mitigation and breach prevention (e.g., 30% reduction in security incidents and 40% fewer post-release vulnerabilities in representative case studies), highlighting the positive impact of proactive security integration. The paper concludes with a discussion on implementation challenges, the evolving threat landscape, and recommendations for organizations to adopt a security-first pipeline with Zero-Trust to fortify API development against current and future threats.
• Abstract（参考訳）: 攻撃面が急速に拡大する中、現代の企業はAPIをターゲットとする脅威が急増している。 2023年には2818件のCVE(2022年から38%のジャンプ)、2024年には40,009件のCVE(さらに38%の増加)、新たな欠陥のタイム・トゥ・エクスロイト(TTE)がわずか数日(2023年には約5日、2021年には32日)に縮小された。 昨年のAPIセキュリティインシデントは99%で,22%がAPI経由のデータ漏洩(業界ベンダの調査に基づく)に悩まされている。 本稿では,DevSecOpsプラクティスのZero-Trust Architecture原則を活用した,APIパイプライン開発のための包括的な"セキュリティファースト"フレームワークを提案する。 私たちは、業界標準(OWASP API Security Top 10 2023、NIST Secure Software Development Framework)と最近のサイバーセキュリティアドバイザリに合わせた、ガバナンスと計画、セキュア設計、継続的テスト、パイプライン制御、実行時保護を含む5つの柱のアプローチを紹介します。 その結果、脆弱性の軽減と侵害防止(例:セキュリティインシデントの30%削減、代表的なケーススタディにおけるリリース後の脆弱性の40%削減)が大幅に改善され、アクティブなセキュリティ統合によるポジティブな影響が強調された。 この論文は、実装上の課題、進化する脅威の状況、そして組織が現在の脅威と将来の脅威に対してAPI開発を強化するためにZero-Trustでセキュリティファーストのパイプラインを採用することを推奨することに関する議論で締めくくっている。

関連論文リスト

• SecureForge: Finding and Preventing Vulnerabilities in LLM-Generated Code via Prompt Optimization [61.91729298584227]
  SecureForgeは、フロンティアモデルのセキュリティリスクを監査し、監査インフォームされたセキュアなシステムプロンプトを生成する自動化パイプラインである。 SecureForgeは、まず静的に検出可能な脆弱性を生成する良性プロンプトを特定し、その後、さまざまなシナリオの大規模な合成プロンプトコーパスに増幅する。 フロンティアモデルでは、SecureForgeは、ユニットテストの成功と出力セキュリティの両方において統計的に有意な改善をもたらし、出力脆弱性は最大48%削減された。
  論文  参考訳（メタデータ） (2026-05-08T18:40:47Z)
• SecPI: Secure Code Generation with Reasoning Models via Security Reasoning Internalization [50.71047638695205]
  RLM(Reasoning Language Model)は、プログラミングにおいてますます使われている言語モデルである。 しかし、最先端のRLMでさえ、生成されたコードに重大なセキュリティ脆弱性を頻繁に導入する。 我々は、構造化されたセキュリティ推論を内部化するためのRTMを教える微調整パイプラインであるSecPIを提案する。
  論文  参考訳（メタデータ） (2026-04-04T04:29:11Z)
• CVE-Factory: Scaling Expert-Level Agentic Tasks for Code Security Vulnerability [50.57373283154859]
  CVE-Factoryは、脆弱性タスクを自動変換するエキスパートレベルの品質を実現するための、最初のマルチエージェントフレームワークである。 最新の現実的な脆弱性についても評価され、66.2%の成功が証明されている。 コードセキュリティにおけるエージェントタスクの大規模スケーリングとして,1000以上の実行可能なトレーニング環境を合成する。
  論文  参考訳（メタデータ） (2026-02-03T02:27:16Z)
• ORCA -- An Automated Threat Analysis Pipeline for O-RAN Continuous Development [57.61878484176942]
  Open-Radio Access Network (O-RAN)は、多くのソフトウェアコンポーネントをクラウドのようなデプロイメントに統合し、これまで考えられていなかったセキュリティ脅威に無線アクセスネットワークを開放する。 現在の脆弱性評価の実践は、しばしば手動、労働集約、主観的な調査に依存しており、脅威分析の不整合につながる。 人間の介入や関連するバイアスを最小限に抑えるために,自然言語処理(NLP)を活用する自動パイプラインを提案する。
  論文  参考訳（メタデータ） (2026-01-20T07:31:59Z)
• S3C2 SICP Summit 2025-06: Vulnerability Response Summit [51.90004414779634]
  NSFが支援するSecure Software Supply Chain Center (S3C2)とSoftware Innovation Campus Paderborn (SICP)の研究者たちが、脆弱性対応サミットを開催した。 サミットの目標は、ソフトウェアサプライチェーンのセキュリティに関する実践的な経験と課題を持つ業界実践者との共有を可能にすることだ。
  論文  参考訳（メタデータ） (2025-12-02T10:05:41Z)
• "Blockchain-Enabled Zero Trust Framework for Securing FinTech Ecosystems Against Insider Threats and Cyber Attacks" [0.6437284704257459]
  セキュリティメカニズムは、インサイダー攻撃、マルウェア侵入、APT(Advanced Persistent Threats)のような進化する脅威に対して不十分である 本稿では、ブロックチェーン統合Zero Trustフレームワークを提案し、"Never Trust, Always"の原則に準拠した。 このフレームワークはスマートコントラクトを使用して、MFA(Multi Factor Authentication)、RBAC(Role-Based Access Control)、Just-In-Time(JIT)アクセス権限を強制する。
  論文  参考訳（メタデータ） (2025-07-26T15:21:04Z)
• Enterprise Security Incident Analysis and Countermeasures Based on the T-Mobile Data Breach [0.0]
  本稿では,2021年と2023年に行われたT-Mobileの重要データ漏洩を包括的に分析する。 システム、インフラストラクチャ、公開エンドポイントをターゲットにしたフルスペクトルセキュリティ監査が含まれている。 金融モデルでは、5年間の投資が予想される侵害損失の1.1%に満たないことを示している。
  論文  参考訳（メタデータ） (2025-07-17T09:22:52Z)
• When Developer Aid Becomes Security Debt: A Systematic Analysis of Insecure Behaviors in LLM Coding Agents [1.7587442088965226]
  LLMベースのコーディングエージェントは、急速にソフトウェア開発にデプロイされているが、その安全性への影響はよく分かっていない。 我々は,5つの最先端モデルにわたる12,000以上のアクションを解析し,自律型符号化エージェントの最初の系統的安全性評価を行った。 我々は,4つの主要な脆弱性を識別する高精度検出システムを開発した。
  論文  参考訳（メタデータ） (2025-07-12T16:11:07Z)
• The Hidden Dangers of Outdated Software: A Cyber Security Perspective [0.0]
  時代遅れのソフトウェアは、2025年のサイバーセキュリティ環境において、強力で未承認の脅威のままだ。 この記事では、ソフトウェア脆弱性の性質、パッチに対するユーザ抵抗の根本原因、問題を複雑にする組織的障壁について、詳細な分析を行っている。 自動化と認識キャンペーンを含む実行可能なソリューションは、これらの欠点に対処することを提案している。
  論文  参考訳（メタデータ） (2025-05-20T04:36:29Z)
• S3C2 Summit 2024-09: Industry Secure Software Supply Chain Summit [50.93790634176803]
  ここ数年、ソフトウェアサプライチェーンをターゲットにしたサイバー攻撃が急増している。 ソフトウェアサプライチェーン攻撃の脅威は、ソフトウェア業界と米国政府から関心を集めている。 NSFが支援するSecure Software Supply Chain Center (S3C2)の3人の研究者がSecure Software Supply Chain Summitを開催した。
  論文  参考訳（メタデータ） (2025-05-15T17:48:14Z)
• Unveiling the Landscape of LLM Deployment in the Wild: An Empirical Study [7.5198516000202105]
  大規模言語モデル(LLM)は、オープンソースおよび商用フレームワークを通じてますますデプロイされている。 LLMのデプロイメントが特に業界で普及するにつれて、安全で信頼性の高い運用が重要な問題になっている。 安全でないデフォルトと設定ミスはしばしばLLMサービスを公開インターネットに公開し、重大なセキュリティとシステムエンジニアリングのリスクを生じさせる。
  論文  参考訳（メタデータ） (2025-05-05T09:30:19Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。