NUDGES PARA DESENVOLVEDORES DE SOFTWARE NO REUSO SEGURO DE CÓDIGO

RESUMO

Este briefing relata evidências científicas sobre o impacto de nudges na segurança do código. Desenvolvedores frequentemente reutilizam exemplos de código da internet, muitas vezes inseguros. Aplicando teoria de nudges, intervenções foram implementadas no Google Search e Stack Overflow para promover a seleção de código seguro. Estudos mostraram que desenvolvedores que utilizaram essas intervenções produziram soluções mais seguras sem comprometer a funcionalidade. Os nudges incluem simplificação, avisos e lembretes para direcionar os desenvolvedores para práticas mais seguras.

Área	Comportamento desejável
Segurança	Incentivar os desenvolvedores a selecionar e reutilizar exemplos de código seguro da web
Barreiras cognitivas	Nudges
Inércia: Desenvolvedores tendem a reutilizar o primeiro exemplo de código que encontram, muitas vezes inseguros.
Confiança equivocada: A popularidade e pontuações de reputação no Stack Overflow muitas vezes sinalizam código inseguro como confiável.
Complexidade: Medidas de segurança excessivamente complexas desincentivam a adoção.	Simplificação: Movendo conselhos de segurança para recursos já existentes e bem estabelecidos usados por quase todos os desenvolvedores.
Avisos: Avisos de segurança para exemplos de código inseguros no Stack Overflow, informando os desenvolvedores sobre os riscos e oferecendo alternativas seguras.
Lembretes: Quando uma tentativa de copiar código inseguro é identificada no Stack Overflow, um lembrete aparece avisando o usuário e exibindo recomendações seguras.

NUDGE

Segurança e Funcionalidade: Desenvolvedores no grupo de tratamento submeteram soluções significativamente mais seguras e funcionais do que o grupo de controle. Este resultado demonstra a eficácia dos nudges implementados, sem comprometer a usabilidade das ferramentas utilizadas (Stack Overflow e Google Search).
Distribuição dos Resultados: 83% dos resultados recebidos pelos participantes do grupo de tratamento eram seguros, enquanto apenas 46% eram altamente relevantes para a consulta. No grupo de controle, 68% dos resultados eram inseguros. 67% dos resultados clicados pelo grupo de tratamento eram seguros, dos quais 26% eram altamente relevantes. No grupo de controle, 84% dos cliques foram feitos em resultados inseguros.
Causalidade: A análise detalhada revelou uma cadeia causal clara: maior uso dos motores de busca modificados, resultados mais seguros e relevantes nos primeiros lugares, cliques predominantemente nesses resultados e reutilização de exemplos de código encontrados nessas páginas, resultando em código mais seguro e funcional.
Eficácia dos Nudges: As intervenções baseadas em nudges aumentaram a segurança das soluções sem prejudicar a funcionalidade. Os nudges implementados, incluindo simplificação, avisos e lembretes, foram eficazes em redirecionar os desenvolvedores para práticas de codificação mais seguras.
Usabilidade e Aceitação: As intervenções não exigem que os desenvolvedores estejam conscientes delas para serem eficazes. Elas não interferem no comportamento estabelecido dos desenvolvedores, como o uso do Google Search e Stack Overflow, e não requerem que os usuários instalem ou aprendam novas ferramentas.
Comparação das Abordagens: Avisos e recomendações no Stack Overflow permitem decisões informadas sobre a reutilização de código inseguro. Já o reranking de resultados no Google Search oferece opções mais seguras por padrão, sem a necessidade de conscientização do usuário. Ambas as abordagens têm suas vantagens e desvantagens específicas, mas juntas, podem oferecer uma solução robusta.
Recomendações Finais: Um enfoque combinado que inclua a segurança do código como um sinal de classificação nos motores de busca, juntamente com a educação dos usuários sobre conteúdo inseguro em sites como Stack Overflow e GitHub, pode ser ideal. Alternativamente, empresas e instituições podem implementar essas intervenções internamente para garantir um ambiente de desenvolvimento mais seguro.
Impacto em Larga Escala: Projetar intervenções de segurança que considerem aspectos comportamentais mostra potencial para resolver problemas de segurança em código em uma escala muito grande. A urgência para agir é alta, visto que o problema tende a piorar se não for tratado.

CAIXA INFORMATIVA

	Descrição
Para quem	Desenvolvedores de software, particularmente aqueles que frequentemente recorrem à internet para encontrar exemplos de código.
Onde	Implementado no Google Search e Stack Overflow.
Como	Intervenções através de modificações no algoritmo de classificação do Google Search e integração de avisos e lembretes no Stack Overflow.
Categoria do nudge	Nudge digital

REFERÊNCIA

Felix Fischer, Jens Grossklags (2022). Nudging Software Developers Toward Secure Code. IEEE Security & Privacy.