本論文は、オープンソースソフトウェア(OSS)プロジェクトのメンテナーの視点から、バグ報告書レビューの実態を調査したものである。
まず、リスト調査を行い、バグ報告書レビューの利点、課題、有用な機能、望ましい機能の40の特徴を特定した。次に、これらの特徴の重要度をリッカート尺度調査で評価し、プライベートな開示と プロジェクトの可視性が最も重要な利点であり、ハンターの金銭的動機や CVE 重視、レビューへの圧力が最も大きな課題であることがわかった。また、インセンティブ付きの報告や セキュリティメトリクス計算支援が最も有用な機能で、コラボレーション機能やハンターの評判システムが最も望ましい機能とされている。
さらに、インタビュー調査を通じて、OSS プロジェクトメンテナーの脆弱性開示プロセスに対する認識、OSS エコシステムのセキュリティ強化への取り組み、バグ報告書の処理と受け止め方などを詳しく把握した。
本研究は、セキュリティ背景の乏しいOSSプロジェクトメンテナーの視点から、バグ報告書レビューの実態を初めて明らかにしたものであり、バグ報告書レビュープロセスをより受け入れやすいものにするための示唆を提供している。
Na inny język
z treści źródłowej
arxiv.org
Głębsze pytania