Veilig programmeren boeit opensourceprogrammeur maar matig

Dat blijkt uit een onderzoek onder ruim 600 ontwikkelaars die bijdragen leveren aan software die vrij en open source is; zogeheten FOSS (free and open source software). Het onderzoek werd uitgevoerd door de Open Source Security Foundation (OpenSSF) van de Linux Foundation, waaraan ook het Laboratory for Innovation Science van Harvard University (LISH) deelneemt.

De developers steken nog geen 2,3 procent van hun tijd in het verbeteren van de veiligheid van hun code. En ze zijn niet van plan daar in de toekomst meer tijd in te steken, zo blijkt uit de '2020 FOSS Contributor Survey'. Het liefst ontwikkelen de programmeurs nieuwe features, verbeteren ze tools, en werken ze aan nieuwe ideeën. Deze top drie van bezigheden staat in het onderzoeksrapport wat gratis is te downloaden.

Zorgelijk

Het gebrek aan aandacht en inzet voor secure coding is behoorlijk zorgelijk want inmiddels bevat naar schatting 70 procent van alle moderne software opensourcecomponenten. Volgens de onderzoekers is het bovendien moeilijk om de ontwikkelaars te motiveren meer aandacht te geven aan beveiliging.

De developers zien wel in dat de beveiliging beter zou moeten maar daarvoor zoeken ze het in oplossingen als patches voor bugs, gratis security audits en vereenvoudigde methodes om beveiligingstools toe te voegen aan hun CI-pipelines.

Eisen opleggen

De onderzoekers adviseren bedrijven een veel sterkere focus op secure coding te eisen van ontwikkelaars. Daarnaast raden ze maatregelen aan die het aantal programmeerfouten kunnen beperken zoals het ontwikkelen van eenvoudigere code, automatiseren van testen en beveiligingscontroles waar mogelijk.