Tools voor securitytesting moeilijk in gebruik

Dat blijkt uit onderzoek uitgevoerd door onderzoeker van Lafayette College en Google. Het onderzoek werd gepresenteerd tijdens het USENIX Symposium on Usable Privacy and Security (SOUPS). Ontwikkelaars worden steeds meer geacht securityproblemen te verhelpen tijdens het ontwikkelproces in plaats van dat dat achteraf gebeurt. Daarvoor kunnen ze zogeheten Static Application Security Testingtools (SAST) inzetten. Die blijken echter moeilijk in het gebruik met als gevolg dat de programmeurs ze niet willen gebruiken en daardoor fouten laten zitten. De onderzoekers beoordeelden 4 van zulke tools op de interface: Find Security Bugs (FSB), RIPS, Flawfinder, and CTool.

Daarbij ging het er de onderzoekers om aanbevelingen te kunnen doen om gebruikersinterfaces van SAST-tools te verbeteren.

Problemen

Wat vooral gemist werd in de tools waren informatie over de resultaten van de scans en de stappen die daarna vereist waren en intuïtieve elementen in de interface om informatie eenvoudig en efficiënt weer te geven. Zo misten de tools onder meer mogelijkheden om de resultaten van een scan te beheren of om lekken te dichten. Ook was het in veel tools niet mogelijk om een volgorde aan te geven waarin zwakke plekken opgeknapt moesten worden. Ook hadden veel tools moeite om een groot aantal resultaten goed op schaal weer te geven.

Onderzoeker Justin Smith zag al wel een oorzaak: “Bij het ontwerp van zulke tools gaat men er van uit dat die moeten helpen een problem te vinden. Maar door die redenering levert dat scanners op die wel honderden problemen vinden maar die het niet erg makkelijk maken om die problemen op te lossen.” En juist dat moet het uitgangspunt zijn voor makers van dergelijke tools.