跳到主要内容
研究人员解决软件开发人员的安全工具周围的问题
摘要

研究人员解决软件开发人员的安全工具周围的问题

2015年8月24日
图像信用:Yuri Samollov。在创造性的公共许可下使用。单击以获取更多信息。

对于软件程序员,安全工具是分析软件,可以在软件进入市场之前扫描或运行其代码以使漏洞进行暴露。但这些工具可以具有缺点,程序员并不总是使用它们。国家科学基金会资助计算机科学研究员的新研究艾默生墨菲山他的同事们解决了这个问题的三个不同方面。

“Our work is focused on understanding the developers who are trying to identify security vulnerabilities in their code, and how they use (or don’t use) tools that can help them find those vulnerabilities,” says Murphy-Hill, an associate professor of computer science at NC State University. “The one thing that ties all of our work together is that we want to help give programmers the best possible tools and help them use those tools effectively.”

什么驱动器使用工具?

三篇相关论文中的第一个下周呈现软件工程基础的研讨会,来自NC州和微软研究的计算机科学和心理学研究人员,通过安全工具调查了超过250名开发人员。目标是确定开发人员对这些工具的使用情况的决定 - 结果有点令人惊讶。

有一件事,表示他们在其中致力于安全性重要的产品的开发人员并没有比其他程序员更容易使用安全工具。

相反,“使用安全工具最强烈关联的两件事是同伴的影响和企业文化,”墨菲希尔说。具体而言,那些说他们已经看到其他人对安全工具有什么作用,并且老板预计它们使用安全工具的人最有可能利用该工具。

“这项研究提供了软件开发公司和管理人员,他们可以用来有效地影响开发商通过的安全工具,”墨菲希尔说。

但这些工具并不完全准确。例如,他们可以讲述程序员存在问题实际上没有问题的问题。这些工具并不总是用户友好的。简而言之,工具本身的特征可能会影响程序员是否选择使用它们。

如何使用工具

阐明了安全工具如何支持开发人员在诊断潜在漏洞,墨菲山的团队和北卡罗来纳大学的合作者设计的夏洛特设计单独的研究,有效地提出:Do Tools给开发人员提供所需的信息,以确定是否存在真正的问题以及如何解决它?

在这项研究中,研究人员给出了10个改变背景的开发人员特定的安全工具和大量的开源代码来检查。代码包含已知的安全漏洞,由安全工具标识。要求每个研究参与者都被要求使用该工具,检查源代码,并说出来自该工具的每个安全通知是真实的以及它们如何解决漏洞。

“在许多情况下,该工具提出了一些可能的解决问题,但没有给予程序员有关每个修复的相关优点和缺点的信息,”墨菲希尔说。“我们发现,程序员难以选择最佳行动方案。”

该工具还将为开发人员提供多种通知,这些通知似乎彼此相关 - 但通知并没有给开发人员提供信息,准确地互相相关的问题。

“这可能会对程序员令人困惑,如果开发人员没有完全了解各种问题彼此相关或潜在修复如何影响整体代码的情况,那么就会导致问题。”

“需要更多的研究来真正攻击这些发现 - 我们需要扩展这项研究以融入更多程序员和更多的安全工具,”墨菲希尔说。“但总的来说,我们希望这和相关的工作可以帮助程序员为软件开发社区创建更有效的工具。”

'定制'工具

墨菲山与来自国家统计局国家的同事提出的一个概念第三篇论文是“定制”工具的想法。基本思想是创建开发人员使用的工具 - 包括安全工具 - 能够随着时间的推移而发展,适应每个程序员的特定专业领域。

“例如,寻址安全漏洞的专业知识的程序员不需要安全工具,提供有关给定漏洞的所有潜在修复的安全工具 - 涉及到可能会减慢它们,”墨菲希尔说。“所以定制工具可能会学会仅提供有关它们的潜在修复的基本信息。但该工具还可以认识到它需要离开的那些额外的信息,以便较少的安全娴熟的程序员,他们可能需要它做出明智的决定。“

Murphy-Hill说,这些定制工具可以通过程序员与工具的互动来了解程序员的优势,并通过分析程序员的代码本身,墨菲希尔说。

软件工程基金会的研讨会是在意大利贝加莫的8月30日至9月4日举行。潜在作者“量化开发人员采用安全工具“北科亚州的前计算机科学研究生吉姆威特·赫尼。本文由奥尔加齐尔斯卡,艾拉伯韦尔克,墨菲山,克里斯梅尔霍恩(Chris Mayhorn)合作,克里斯梅曼和托马斯·齐默曼的微软研究。潜在作者“问题开发人员在诊断静态分析时诊断潜在的安全漏洞,“幸福,”史密斯史密斯史密斯。在NC状态的学生。本文是由布列塔尼约翰逊和墨菲山的南部国家和墨尔·楚楚和奥伯洛特的石南·富豪利普福德共同撰写。约翰逊也是“定制工具:适应开发人员知道的概念。“共同作者是Rahul Pandita,Murphy-Hill和NC状态的莎拉赫克曼。

NSF在授权1318323,DGE-0946818和1217700下支持该研究。

留下回应

您的电子邮件地址不会被公开。各个领域都需要。

    更多来自NC州新闻

    Sitka Murcuce.

    巨型常青树的遗传学研究揭示了害虫的线索抵抗性

    NC状态的钟声带冉冉升起的阳光

    干旱在6月初之后减少了豪饮者

    金星

    美国宇航局正在返回金星,了解它是如何变得热的毒性荒地