计算机科学 > 软件工程
[提交于 2025年7月15日
]
标题: 实践中的安全债务:从业者的深入见解
标题: Security Debt in Practice: Nuanced Insights from Practitioners
摘要: 随着对软件和自动化的依赖不断增加,紧迫的截止日期、有限的资源以及功能优先于安全性的做法可能导致不安全的编码实践。 当未妥善处理时,这些限制会导致未解决的安全漏洞随时间积累,形成安全债务(SDs)。 尽管它们至关重要,但目前在现实环境中,软件从业者如何感知、管理以及沟通SDs的实证证据仍然有限。 在本文中,我们基于对来自不同角色、组织和国家的22名软件从业者的半结构化访谈,进行了一项定性实证研究。 我们解决了四个研究问题:i)我们评估软件从业者对SDs及其相关安全风险的知识和意识,ii)我们研究他们对待SDs的行为,iii)我们探讨用于缓解SDs的常用工具和策略,iv)我们分析安全风险在团队内部以及向决策者传达的方式。 我们观察到从业者对SDs的感知和管理存在差异,一些人更注重交付速度而非安全性,而另一些人则始终将安全性作为优先事项。 我们的研究结果强调了在软件开发生命周期(SDLC)中更强的安全实践整合的必要性,更一致地使用缓解策略,更好地平衡截止日期、资源和与安全相关的任务,并关注保密性、完整性、可用性(CIA)三元组。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.