Tabla de enlaces
Resumen e I. Introducción
II. Trabajo relacionado
Iii. Metodología
IV. Resultados y discusión
V. Amenazas a la validez
VI. Conclusiones, reconocimientos y referencias
Abstracto—Prior La investigación ha demostrado que la criptografía es difícil de usar para los desarrolladores. Nuestro objetivo es comprender qué problemas de criptografía enfrentan los desarrolladores en la práctica. Agrupamos las preguntas relacionadas con la criptografía 91 954 en el sitio net de Overflow de Stack, y analizamos manualmente una muestra significativa (es decir, 383) de las preguntas para comprender los desafíos criptográficos que los desarrolladores comúnmente enfrentan en este dominio. Descubrimos que los desarrolladores tienen una clara falta de conocimiento en la comprensión de los conceptos fundamentales, por ejemplo, OpenSSL, criptografía de clave pública o hash de contraseña, o la usabilidad de las bibliotecas criptográficas socavaron el rendimiento del desarrollador para realizar correctamente un escenario criptográfico. Esto es alarmante e indica la necesidad de una investigación dedicada para mejorar el diseño de las API criptográficas.
I. Introducción
Los estudios han demostrado que los conceptos de criptografía son difíciles de entender para los desarrolladores, y la complejidad de las API criptográficas ha hecho que su uso seguro sea muy difícil. [1] [2]. Existen herramientas de análisis estático, pero los desarrolladores son reacios a emplearlas debido a la falta de familiaridad, restricciones en las políticas organizacionales o altas tasas de falsos positivos [3], [4]. Los investigadores han desarrollado recientemente nuevas API para aliviar la adopción de la criptografía. [5]sin embargo, los foros de preguntas y respuestas en línea se encuentran entre las principales fuentes de información utilizadas para resolver problemas de desarrolladores.
Una inspección más cercana de foros en línea como Stack Overflow proporciona un atajo para identificar los desafíos frecuentes que enfrentan los desarrolladores en este dominio. Por lo tanto, en este estudio, abordamos la siguiente pregunta de investigación: ¿Qué tipos de desafíos criptográficos enfrentan los desarrolladores en la criptografía? Extraemos los problemas comunes que los desarrolladores se encuentran recientemente cuando se trata de diversas áreas de criptografía. Los hallazgos brindan una ayuda significativa para los desarrolladores en common, y los líderes de equipo de software program, tutores y diseñadores de bibliotecas criptográficas en explicit, para aumentar su conciencia de malentendidos comunes o para resaltar áreas con una curva de aprendizaje empinada.
A diferencia de otros estudios, solo nos centramos en los desafíos de los desarrolladores relacionados con las criptográficas. Para cubrir varios tipos de criptocaligios, necesitamos identificar diferentes grupos de preguntas que sean similares en términos de contexto. Particularmente, la agrupación handbook de una cantidad tan grande de preguntas (es decir, 91 954) es una tarea exigente. Por lo tanto, utilizamos el modelo estadístico generativo de Asignación de Dirichlet (LDA), y encontramos tres temas principales en 91 954 publicaciones relacionadas con la criptografía en el desbordamiento de la pila. Luego utilizamos un muestreo estratificado para estudiar 383 publicaciones al azar de los tres temas para identificar los problemas problemáticos más comunes para los desarrolladores. Los resultados mostraron que los desarrolladores comúnmente no pudieron implementar un escenario criptográfico debido a dos razones, a saber, la complejidad de las API criptográficas y su falta de familiaridad con conceptos fundamentales como certificados digitales, criptografía de clave pública y algoritmos de hashing.
Nuestros hallazgos muestran que los obstáculos para los desarrolladores en criptografía aún no se han resuelto, y debido a su impacto en la seguridad, este dominio necesita urgentemente un esfuerzo de investigación dedicado. Estamos realizando una encuesta con desarrolladores que ayudaron activamente a la comunidad de desbordamiento de pila en este dominio para comprender posibles remedios de este problema.
Autores:
(1) Mohammadreza Hazhirpasand, Oscar Nierstrasz, Universidad de Berna, Berna, Suiza;
(2) Mohammadhossein Shabani, Universidad de Azad, Rasht, Irán;
(3) Mohammad Ghafari, Escuela de Informática, Universidad de Auckland, Auckland, Nueva Zelanda.
