| Item type |
Symposium(1) |
| 公開日 |
2024-10-15 |
| タイトル |
|
|
タイトル |
OSS利用者の意思決定を支援するソースコード開発におけるセキュリティリスクの定義と可視化 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Definition and Visualization of Security Risks in OSS Development to Support User's Decision-Making |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
software supply chain, Software Bill of Materials, the Source Code Development Process |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
慶應義塾大学 環境情報学部 |
| 著者所属 |
|
|
|
北海道大学 情報基盤センター/慶應義塾大学グローバルリサーチインスティチュート |
| 著者所属 |
|
|
|
慶應義塾大学 大学院政策・メディア研究科 |
| 著者所属 |
|
|
|
慶應義塾大学 SFC 研究所 |
| 著者所属 |
|
|
|
Global Research Institute, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Information and Environment Studies, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Hokkaido University / Global Research Institute, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Media and Governance, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
Keio Research Institute at SFC, Keio University |
| 著者所属(英) |
|
|
|
en |
|
|
慶應義塾大学 グローバルリサーチインスティチュート |
| 著者名 |
光澤, 加偉
近藤, 賢郎
ルーク, コリー
甲斐, 賢
手塚, 悟
|
| 著者名(英) |
Kai, Mitsuzawa
Takao, Kondo
Korry, Luke
Satoshi, Kai
Satoru, Tezuka
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
昨今では, OSS に対して悪意のある第三者が不正に管理者権限を奪取し悪意のあるコードが挿入される事案や, OSS に残存する脆弱性に起因したセキュリティ事故の事案が発生している.このため,ソースコード開発過程のリスクを管理・可視化するために OpenSSF の S2C2F やセキュリティスコアカードといったフレームワークやツールが開発されている.しかし, S2SC2F はソースコード開発過程でリスクが生じる原因の整理が不十分であり,セキュリティスコアカードは OSS 開発者による協力を前提としている点で OSS の利用者向けのリスクの可視化が不十分である.本稿では,ソースコード開発過程に潜むリスクをそれが生じる原因の観点から定義し,OSSの利用者向けにこれらのリスクを可視化する eSBOM と意思決定を支援するためのツールである SCMV を提案・実装した.そして,2022年7月時点の npm パッケージ 3000 個のデータセットを使用し,リスクの存在を SCMV を利用して検証した.これらの評価の結果,本稿で定義したリスクがソースコード開発過内の脅威を包括的にカバーされ,定義が有効である事を確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Recent security incidents have highlighted the risks of malicious code in Open Source Software (OSS) through unauthorized access and vulnerabilities. Frameworks such as S2C2F and tools such as security scorecards have been developed to manage and visualize these risks. However, they have the following limitations: S2C2F does not fully address the root causes of risk in the Source Code development process, while Security Scorecards rely on the cooperation of OSS developers, limiting their effectiveness for users. This paper defines risks in the source code development process in terms of their causes, and proposes and implements eSBOM which visualizes these risks for OSS users, and SCMV which is a tool to support decision-making for OSS users. Using a dataset of 3,000 NPM packages from July 2022, this paper validates the existence of these risks and confirms that the proposed risk definitions are comprehensive and valid in covering threats in the Source Code development process. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1210-1217,
発行日 2024-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2024162.pdf (583.0 kB)
