| Item type |
Symposium(1) |
| 公開日 |
2025-10-20 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
GitHub Actionsのセキュリティ実践と課題の混合研究法的分析 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A Mixed-Methods Approach to Examining Security Practices in GitHub Actions |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
NTT ドコモビジネス株式会社/早稲田大学 |
| 著者所属 |
|
|
|
NTT ドコモビジネス株式会社 |
| 著者所属 |
|
|
|
NTT 株式会社 |
| 著者所属 |
|
|
|
早稲田大学 |
| 著者所属 |
|
|
|
早稲田大学/情報通信研究機構/理化学研究所革新知能統合研究センター |
| 著者所属(英) |
|
|
|
NTT DOCOMO BUSINESS, / Waseda University |
| 著者所属(英) |
|
|
|
NTT DOCOMO BUSINESS, |
| 著者所属(英) |
|
|
|
NTT, Inc. |
| 著者所属(英) |
|
|
|
Waseda University |
| 著者所属(英) |
|
|
|
Waseda University / NICT / RIKEN AIP |
| 著者名 |
久保,佑介
金井,文宏
秋山,満昭
若井,琢朗
森,達哉
|
| 著者名(英) |
Yusuke Kubo
Fumihiro Kanei
Mitsuaki Akiyama
Takuro Wakai
Tatsuya Mori
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
継続的インテグレーション/継続的デリバリ (CI/CD) の普及に伴い,GitHub Actions はソフトウェア開発において広く活用されている.一方で,そのセキュリティ確保は重要な課題であり,GitHub は開発者向けにセキュリティプラクティスを公開している.しかし,それらが実際にどの程度実践され,開発者がどのような判断や認識のもとでそれらを実践しているかについては十分に理解されていない.本研究では,338,812 件の公開リポジトリを対象とした大規模観測調査と 102 名の開発者へのユーザ調査を組み合わせた混合研究法的分析により,GitHub Actions におけるセキュリティプラクティスの実態を分析した.その結果,(1)セキュリティプラクティスが十分に実践されていないこと,(2)リポジトリの所有者のアカウント種別などの特性と実践状況に統計的な関連があること,(3)実践を阻害する主要な要因として,認知不足,理解不足や誤解,運用コストやリソースに対する懸念の三点が存在することを明らかにした.さらに,これらの知見に基づき,ドキュメントの改善やプラットフォーム・ツールによる支援の必要性について議論する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
GitHub Actions has become a widely used and influential platform in modern software development due to the widespread adoption of Continuous Integration/Continuous Delivery (CI/CD). Ensuring the platform's security is a critical and ongoing challenge that has prompted GitHub to publish security practices for developers. However, it is still unclear how widely these practices are adopted and how developers perceive and apply them in practice. This study used a mixed-methods approach combining a large-scale measurement study of 338,812 public repositories and a use study of 102 developers to examine the state of security practices in GitHub Actions. Our findings show that (1) security practices are not widely adopted, (2) adoption is statistically associated with repository characteristics, such as the owner's account type, and (3) three main barriers hinder adoption: lack of awareness, lack of understanding and misconceptions, and cost and resource concerns. Based on these findings, we discuss the necessity of improving documentation and providing stronger support through platforms and tools. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2025論文集
p. 631-638,
発行日 2025-10-20
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2025084.pdf (381.0 KB)
