Not logged in.
Quick Search - Contribution
Contribution Details
| Type | Bachelor's Thesis |
| Scope | Discipline-based scholarship |
| Title | Checklists in code review |
| Organization Unit | |
| Authors |
|
| Supervisors |
|
| Language |
|
| Institution | University of Zurich |
| Faculty | Faculty of Business, Economics and Informatics |
| Date | 2021 |
| Abstract Text | Code review is an important tool for reducing software defects and detecting vulnerabilities in earlier phases of software development. However, reviewing source code from a security perspective is a difficult task and requires extensive knowledge and experience. To make code reviews less dependent on the reviewers' security skills, one can consider incorporating security checklists. Checklist-based reading has been shown to be less dependent on the skill, knowledge, and experience of the reviewer. In this paper, we investigate the extent to which a security checklist assists the reviewer in detecting software vulnerabilities during code review activities. Furthermore, we investigate how the length of the checklist affects the reviewers' performance in this regard. To do so, we devised an online code review experiment with 106 experienced developers. Our results indicate that checklist support has no significant effect on detecting vulnerabilities during code review. Moreover, the length of the checklist does not affect the performance of the reviewer. |
| Zusammenfassung | Code-Reviews gelten als wichtiges Instrument zur Verringerung von Softwarefehlern und zur Aufdeckung von Sicherheitslücken in frühen Phasen der Softwareentwicklung. Programmcode auf Sicherheitslücke zu überprüfen ist jedoch eine anspruchsvolle Aufgabe und erfordert umfangreiche Kenntnisse und Erfahrung im Bereich der IT-Sicherheit. Um Code-Reviews weniger von den Kenntnissen des Prüfers abhängig zu machen, bietet sich der Einsatz von Sicherheits-Checkliste an. Checklisten können den Anwender systematisch durch den Code-Review Prozess leiten und führen zu Ergebnissen, die weniger von den Fähigkeiten, dem Wissen und der Erfahrung des Anwenders abhängen. In dieser Arbeit untersuchen wir, ob Sicherheits-Checklisten im Code-Review einen Einfluss auf die Erkennungsrate von Sicherheitslücken haben. Darüber hinaus untersuchen wir, ob dabei die Länge der Checkliste einen Einfluss auf die Leistung der Anwender hat. Zu diesem Zweck haben wir ein Online Experiment mit 106 erfahrenen Entwicklern durchgeführt. Unsere Ergebnisse zeigen, dass Checklistenunterstützung während dem Code-Review keinen signifikanten Einfluss auf das Erkennen von Sicherheitslücken hat. Des weiteren zeigen unsere Funde, dass die Länge der Checkliste dabei keinen Einfluss auf die Leistung des Anwenders hat. |
| PDF File |
Download
|
| Export |
BibTeX
|