Beheer

Security
programmeur

Veilig programmeren boeit opensourceprogrammeur maar matig

Saai en te veel aan regels gebonden.

© CC BY-SA 2.0 - Flickr Santiago Garza
10 december 2020

Saai en te veel aan regels gebonden.

Opensource-ontwikkelaars steken maar weinig tijd in secure coding en het gros van deze developers is ook niet van plan er meer tijd aan te besteden. Ze vinden het saai werk en te veel aan regels gebonden.

Dat blijkt uit een onderzoek onder ruim 600 ontwikkelaars die bijdragen leveren aan software die vrij en open source is; zogeheten FOSS (free and open source software). Het onderzoek werd uitgevoerd door de Open Source Security Foundation (OpenSSF) van de Linux Foundation, waaraan ook het Laboratory for Innovation Science van Harvard University (LISH) deelneemt.

De developers steken nog geen 2,3 procent van hun tijd in het verbeteren van de veiligheid van hun code. En ze zijn niet van plan daar in de toekomst meer tijd in te steken, zo blijkt uit de '2020 FOSS Contributor Survey'. Het liefst ontwikkelen de programmeurs nieuwe features, verbeteren ze tools, en werken ze aan nieuwe ideeën. Deze top drie van bezigheden staat in het onderzoeksrapport wat gratis is te downloaden.

Zorgelijk

Het gebrek aan aandacht en inzet voor secure coding is behoorlijk zorgelijk want inmiddels bevat naar schatting 70 procent van alle moderne software opensourcecomponenten. Volgens de onderzoekers is het bovendien moeilijk om de ontwikkelaars te motiveren meer aandacht te geven aan beveiliging.

De developers zien wel in dat de beveiliging beter zou moeten maar daarvoor zoeken ze het in oplossingen als patches voor bugs, gratis security audits en vereenvoudigde methodes om beveiligingstools toe te voegen aan hun CI-pipelines.

Eisen opleggen

De onderzoekers adviseren bedrijven een veel sterkere focus op secure coding te eisen van ontwikkelaars. Daarnaast raden ze maatregelen aan die het aantal programmeerfouten kunnen beperken zoals het ontwikkelen van eenvoudigere code, automatiseren van testen en beveiligingscontroles waar mogelijk.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Mark Overmeer 10 december 2020 12:17

Het onderzoek gaat over het gebrek aan interesse door OS ontwikkelaars. Ik ben bijzonder benieuwd hoe die interesse is bij non-OS ontwikkelaars. Alleen als het daar veel beter met beveiligingsgevoel is gesteld is de paragraaf "Zorgelijk" juist geschreven. De intentie is nu dat de OS componenten veel kwetsbaarder zijn dan de non-OS componenten, maar dat komt in ieder geval niet uit het beschreven onderzoek naar voren.

Uit ervaring weet is dat er Linux distributies zijn die aktief OS-ontwikkelaars benaderen wanneer ze bij inspectie problemen vinden. Daar gebruiken ze slimme tools voor. Die kunnen niet gebruikt worden voor closed-source applicaties die je naar binnen haalt.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.