بهبود امنیت با استفاده از معیار‌های استخراج‌شده از مخازن نرم‌افزاری-معیار فعالیت توسعه‌دهنده

ضعف امنیتی و آسیب‌پذیری در لایه‌های مختلف سیستم‌های نرم‌افزاری، منجر به بسیاری حملات امنیتی برعلیه سیستم‌های نرم‌افزاری می‌شود. برای بهبود امنیت مولفه‌های مختلف سیستم‌، باید به شناسایی و رفع آسیب‌پذیری پرداخت. روش‌هایی که برای شناسایی آسیب‌پذیری نرم‌افزار وجود دارند، به دودسته، روش‌های دستی و خودکار تقسیم می‌شوند. روش‌های دستی، روش‌هایی هستند که از پایش چشمی کد، برای شناسایی آسیب‌پذیری، استفاده می‌کنند. با توجه به دشوار و زمان‌بر بودن این روش‌ها و  زمان و منابع محدود تیم‌های توسعه‌دهنده، پژوهشگران به دنبال روش‌هایی برای خودکارسازی شناسایی آسیب‌پذیری نرم‌افزار هستند. ازجمله این روش‌ها، استفاده از معیارهای نرم‌افزاری در مدل‌های شناسایی آسیب‌پذیری است که از چرخه حیات توسعه‌ی نرم‌افزار و مخازن نرم‌افزاری استخراج می‌شوند. معیار فعالیت توسعه‌دهنده، معیاری است که به دلیل تیمی بودن توسعه‌ی نرم‌افزار و نقش برجسته فاکتورهای انسانی، در نوشتن کد، بازبینی، نگهداشت و فرآیند توسعه‌ی نرم‌افزار، نقش مهمی در مدل‌های شناسایی آسیب‌پذیری نرم‌افزار دارد. با توجه به این مطلب، در این مقاله، با طرح یازده فرضیه، به کاوش معیار توسعه‌دهنده از مخزن نرم‌افزاری و  بررسی و تحلیل تاثیر این معیار بر روش‌های خودکار شناسایی آسیب‌پذیری نرم‌افزار، بر یک نرم‌افزار متن‌باز (یازده نسخه مرورگر وب موزیلا فایرفاکس)، پرداخته شده است. طی بررسی‌های انجام‌شده جهت شناسایی آسیب‌پذیری، تاثیر چشم‌گیر معیار توسعه‌دهنده بر فایل‌های آسیب‌پذیر، ازنظر آماری معنادار است و این معیار می‌تواند به‌خوبی فایل‌های آسیب‌پذیر را شناسایی کند. بنابراین می‌توان از این معیار در مدل‌های شناسایی خودکار آسیب‌پذیری نرم‌افزار، جهت شناسایی قسمت‌هایی از کد نرم‌افزار که دارای آسیب‌پذیری هستند، استفاده کرد.