Det er i kodelinjerne, at de klassiske sikkerhedshuller som eksempelvis buffer overrun opstår, og de fleste udviklere er derfor interesserede i at gøre, hvad de kan for at aflevere kode, der er sikker. Men det er de færreste, som får det ført ud i livet.
Ifølge en undersøgelse som forlaget O'Reilly og Software Improvement Group har udført, så er det eksempelvis 80 procent af udviklerne, som ser eksterne code reviews som et vigtigt værktøj. Men det er blot 20 procent, som faktisk får udført eksterne code reviews.
Til gengæld har udviklerne ifølge samme undersøgelse ikke meget til overs for den mere almindelige sikkerhedsanalyse i form af penetration test (pen-test). Blot 4 procent af udviklerne ser pen-test som tilstrækkelig til at sikre systemet.
Det skyldes blandt andet, at en pen-test først udføres på det færdige eller næsten færdige produkt, så eventuel feedback kommer på et tidspunkt, hvor der ikke er afsat tid til at rette i koden. Desuden angriber pen-test systemet uden at kende dets indre mekanikker, så det er ikke en komplet test.
Statisk kodeanalyse for dyrt
En anden klassisk, kommerciel metode til at øge sikkerheden er værktøjer til statisk kodeanalyse, som dog blot blev brugt af 25 procent af de adspurgte. Årsagen til ikke at benytte værktøjerne var hovedsageligt, at de var for dyre, men der var også en del, som klagede over for mange falske positiver, eller at værktøjerne ikke kunne bruges med de teknologier, de arbejdede med, eller at de ikke var egnede til agile udviklingsprocesser.
Det var blot hver femte, der arbejdede et sted, som faktisk benyttede eksterne code reviews, men der var flere, som benyttede sig af forskellige former for interne code reviews, hvor der kan være et større eller mindre overlap mellem forskellige typer.
44 procent benyttede sig af peer reviews, hvor man altså får en kollega i udviklingsafdelingen til at tjekke koden. Der var også 44 procent, som benyttede sig af interne sikkerhedseksperter.
Ifølge undersøgelsen var det 60 procent af virksomhederne, som havde fastsat krav til sikker kodning, men det var mindre end halvdelen af de adspurgte, som svarede, at disse krav blev fulgt op i tilstrækkelig grad.
Dagens udvikler dagligdag er desværre fyldt med (urealistiske) deadlines, som skal overholdes, så selv de bedste intentioner om at lave god og sikker kode bliver aldrig realiseret.
Nu fangede jeg ikke lige hvilken del, der ikke var tid til, men...
Manglen på tid er netop det statisk analyse skal hjælpe med - codereview uden brug af menneskelige ressourcer.
Dermed ikke sagt at de skal erstattet menneske codereviews, men de kan bare fange mange af de fejl, som mennesker bliver ved med at overse.
Tiden man bruger på at for indkøbt, opsat og bruge statisk analyse skal opvejes mod tiden man bruger på at debugge et system.
Jeg kan (nok) kun være enig i din betragtning - men det er der ikke tid (og penge) til!
Det er den sætning mange møder hver dag og så bliver det ikke til noget.