Security

Viele Entwickler ignorieren Sicherheit, wenn sie nicht gefordert wird

Studie: Sichere Software? Nur auf Anfrage!
Keine Kommentare

Eine neue Studie zeigt: Wer sichere Software will, muss diese Anforderung eindeutig formulieren. Fehlen entsprechende Anforderungen, wird Sicherheit oft nicht bedacht und nicht implementiert.

Eine neue Studie der Universität Bonn zeigt, dass Entwickler oft nur dann sichere Software schreiben, wenn dies explizit von ihnen verlangt wird. Für die Studie wurden freischaffende Programmierer mit der Entwicklung einer Nutzer-Registrierung für eine Social-Media-Plattform beauftragt. Abhängig von der Formulierung der Aufgabenstellung gibt es deutliche Unterschiede im Umgang mit Sicherheitsfragen.

Die angeheuerten Entwickler wurden in zwei Gruppen geteilt: Die erste Gruppe erhielt in der Aufgabenstellung keine Anforderungen zur Sicherheit, von der zweiten Gruppe wurde das sichere Speichern von Passwörtern verlangt. Wenn keine Sicherheitsanforderungen gestellt wurden, legte die deutliche Mehrheit (17 von 21) unsicheren Code vor. Nur vier Entwickler aus dieser Gruppe lieferten eigenständig eine sichere Lösung. Etwas mehr als die Hälfte (13 von 21) der anderen Gruppe präsentierte eine Lösung mit sicherer Speicherung der Passwörter.

Den Programmierern wurde jeweils Code für ein unvollständiges Projekt zur Verfügung gestellt, in den sie ihre Lösung einarbeiten sollten. Dabei unterlief den Autoren der Studie der Fehler, dass zunächst an einige der Freelancer Code mit den Importen java.security und javax.crypto verschickt wurde. Keiner der betroffenen Entwickler lieferte dem vermeintlichen Kunden sicheren Code. Als unsicher werden in dieser Studie leicht zu brechende oder überholte Verfahren sowie im Klartext gespeicherte Passwörter betrachtet.

Sichere Software muss eine Anforderung sein

Auf die Frage, weshalb sie keinen sicheren Umgang mit Passwörtern implementiert hätten, verwiesen einige der Programmierer auf die Aufgabenstellung. Mehrere von ihnen betonten, dass Sicherheit in die Beschreibung der Anforderungen aufgenommen werden müsse, wenn man entsprechende Software erwarte. Auch die in der Studie durchgeführten statistischen Untersuchungen zeigen die Tendenz, dass sichere Software nur auf Verlangen geliefert wird.

In der jüngeren Vergangenheit wurde unter Stichwörtern wie DevSecOps oder Shift Left Security oft darüber gesprochen, dass Sicherheit von Anfang an ein zentraler Teil der Softwareentwicklung sein sollte. Solange professionelle Entwickler Passwörter im Klartext speichern, scheint hier noch viel Raum für einen Bewusstseinswandel zu sein.

Die vollständige Studie steht unter dem Titel „If you want, I can store the encrypted password.“ A Password-Storage Field Study with Freelance Developers als PDF zur Verfügung.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -