Udviklere vil gerne skrive mere sikker kode - men får det ikke gjort

Illustration: Bigstock
De fleste udviklere vil gerne gennemføre eksterne reviews af sikkerheden i deres kode, men et fåtal får det gjort.

Det er i kodelinjerne, at de klassiske sikkerhedshuller som eksempelvis buffer overrun opstår, og de fleste udviklere er derfor interesserede i at gøre, hvad de kan for at aflevere kode, der er sikker. Men det er de færreste, som får det ført ud i livet.

Ifølge en undersøgelse som forlaget O'Reilly og Software Improvement Group har udført, så er det eksempelvis 80 procent af udviklerne, som ser eksterne code reviews som et vigtigt værktøj. Men det er blot 20 procent, som faktisk får udført eksterne code reviews.

Til gengæld har udviklerne ifølge samme undersøgelse ikke meget til overs for den mere almindelige sikkerhedsanalyse i form af penetration test (pen-test). Blot 4 procent af udviklerne ser pen-test som tilstrækkelig til at sikre systemet.

Det skyldes blandt andet, at en pen-test først udføres på det færdige eller næsten færdige produkt, så eventuel feedback kommer på et tidspunkt, hvor der ikke er afsat tid til at rette i koden. Desuden angriber pen-test systemet uden at kende dets indre mekanikker, så det er ikke en komplet test.

Statisk kodeanalyse for dyrt

En anden klassisk, kommerciel metode til at øge sikkerheden er værktøjer til statisk kodeanalyse, som dog blot blev brugt af 25 procent af de adspurgte. Årsagen til ikke at benytte værktøjerne var hovedsageligt, at de var for dyre, men der var også en del, som klagede over for mange falske positiver, eller at værktøjerne ikke kunne bruges med de teknologier, de arbejdede med, eller at de ikke var egnede til agile udviklingsprocesser.

Det var blot hver femte, der arbejdede et sted, som faktisk benyttede eksterne code reviews, men der var flere, som benyttede sig af forskellige former for interne code reviews, hvor der kan være et større eller mindre overlap mellem forskellige typer.

44 procent benyttede sig af peer reviews, hvor man altså får en kollega i udviklingsafdelingen til at tjekke koden. Der var også 44 procent, som benyttede sig af interne sikkerhedseksperter.

Ifølge undersøgelsen var det 60 procent af virksomhederne, som havde fastsat krav til sikker kodning, men det var mindre end halvdelen af de adspurgte, som svarede, at disse krav blev fulgt op i tilstrækkelig grad.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Nyrup

Nu fangede jeg ikke lige hvilken del, der ikke var tid til, men...
Manglen på tid er netop det statisk analyse skal hjælpe med - codereview uden brug af menneskelige ressourcer.
Dermed ikke sagt at de skal erstattet menneske codereviews, men de kan bare fange mange af de fejl, som mennesker bliver ved med at overse.

Tiden man bruger på at for indkøbt, opsat og bruge statisk analyse skal opvejes mod tiden man bruger på at debugge et system.

Andrew Rump

Nu fangede jeg ikke lige hvilken del, der ikke var tid til, men...
Manglen på tid er netop det statisk analyse skal hjælpe med ...

Tiden man bruger på at for indkøbt, opsat og bruge statisk analyse skal opvejes mod tiden man bruger på at debugge et system.

Jeg kan (nok) kun være enig i din betragtning - men det er der ikke tid (og penge) til!
Det er den sætning mange møder hver dag og så bliver det ikke til noget.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder