Det er i kodelinjerne, at de klassiske sikkerhedshuller som eksempelvis buffer overrun opstår, og de fleste udviklere er derfor interesserede i at gøre, hvad de kan for at aflevere kode, der er sikker. Men det er de færreste, som får det ført ud i livet.
Ifølge en undersøgelse som forlaget O'Reilly og Software Improvement Group har udført, så er det eksempelvis 80 procent af udviklerne, som ser eksterne code reviews som et vigtigt værktøj. Men det er blot 20 procent, som faktisk får udført eksterne code reviews.
Til gengæld har udviklerne ifølge samme undersøgelse ikke meget til overs for den mere almindelige sikkerhedsanalyse i form af penetration test (pen-test). Blot 4 procent af udviklerne ser pen-test som tilstrækkelig til at sikre systemet.
Det skyldes blandt andet, at en pen-test først udføres på det færdige eller næsten færdige produkt, så eventuel feedback kommer på et tidspunkt, hvor der ikke er afsat tid til at rette i koden. Desuden angriber pen-test systemet uden at kende dets indre mekanikker, så det er ikke en komplet test.
Statisk kodeanalyse for dyrt
En anden klassisk, kommerciel metode til at øge sikkerheden er værktøjer til statisk kodeanalyse, som dog blot blev brugt af 25 procent af de adspurgte. Årsagen til ikke at benytte værktøjerne var hovedsageligt, at de var for dyre, men der var også en del, som klagede over for mange falske positiver, eller at værktøjerne ikke kunne bruges med de teknologier, de arbejdede med, eller at de ikke var egnede til agile udviklingsprocesser.
Det var blot hver femte, der arbejdede et sted, som faktisk benyttede eksterne code reviews, men der var flere, som benyttede sig af forskellige former for interne code reviews, hvor der kan være et større eller mindre overlap mellem forskellige typer.
44 procent benyttede sig af peer reviews, hvor man altså får en kollega i udviklingsafdelingen til at tjekke koden. Der var også 44 procent, som benyttede sig af interne sikkerhedseksperter.
Ifølge undersøgelsen var det 60 procent af virksomhederne, som havde fastsat krav til sikker kodning, men det var mindre end halvdelen af de adspurgte, som svarede, at disse krav blev fulgt op i tilstrækkelig grad.
