Разработчик Cryptography Dilemma: срочный призыв к исследованию API
26 июля 2025 г.Таблица ссылок
Аннотация и I. Введение
II Связанная работа
Iii. Методология
IV Результаты и обсуждение
V. Угрозы достоверности
VI Выводы, подтверждения и ссылки
Абстрактный- Профровые исследования показали, что криптография трудно использовать для разработчиков. Мы стремимся понять, с чем сталкивается криптография на практике. Мы кластеризовали 91 954, связанные с криптографией на веб-сайте переполнения стека, и вручную проанализировали значительную выборку (то есть 383) вопросов для понимания крипто-задач, которые обычно сталкиваются в этом домене. Мы обнаружили, что либо разработчики имеют явное отсутствие знаний в понимании фундаментальных концепций, например, OpenSSL, криптография с открытым ключом или хэшн пароля, или удобство использования крипто-библиотек, подорвав производительность разработчика, чтобы правильно реализовать крипто-сценарий. Это тревожно и указывает на необходимость в выделенных исследованиях для улучшения дизайна крипто -API.
I. Введение
Исследования показали, что концепции криптографии трудно понять для разработчиков, а сложность крипто -API затрудняет их безопасное использование [1] [2]. Существуют инструменты статического анализа, но разработчики неохотно используют их из -за отсутствия знакомства, ограничений в организационной политике или высоких показателей ложных срабатываний [3], [4]. Исследователи недавно разработали новые API, чтобы облегчить принятие криптографии [5], однако онлайн -форумы по вопросам и ответам являются одними из основных источников информации, используемых для решения проблем разработчиков.
Более тщательное осмотр онлайн -форумов, таких как переполнение стека, обеспечивает ярлык для определения частых проблем, с которыми сталкиваются разработчики в этом домене. Поэтому в этом исследовании мы рассматриваем следующий вопрос исследования: с какими типами крипто -задач сталкиваются разработчики в криптографии? Мы извлекаем общие проблемы, с которыми недавно сталкиваются разработчики, имея дело с различными областями криптографии. Результаты оказывают значительную помощь для разработчиков в целом, а также руководителям команд программного обеспечения, репетиторов и дизайнеров крипто -библиотеки в частности, для повышения осведомленности об общих недопониманиях или для выделения областей с крутой кривой обучения.
В отличие от других исследований, мы сосредоточены только на крипто-связанных с проблемах разработчиков. Чтобы охватить различные типы криптохалленгов, нам нужно определить различные группы вопросов, которые похожи с точки зрения контекста. В частности, ручная группировка такого большого количества вопросов (то есть 91 954) является требовательной задачей. Поэтому мы использовали статистическую статистическую модель Генеративной модели скрытого дирихлера (LDA) и обнаружили три основные темы в 91 954-связанных с крипто-сообщениями на переполнении стека. Затем мы использовали стратифицированную выборку для изучения 383 поста случайным образом из трех тем, чтобы определить наиболее распространенные проблемы для разработчиков. Результаты показали, что разработчики обычно не смогли реализовать криптографический сценарий по двум причинам, а именно сложности крипто-АПИ и отсутствие их знакомства с фундаментальными концепциями, такими как цифровые сертификаты, криптография с открытым ключом и алгоритмы хэширования.
Наши результаты показывают, что препятствия для разработчиков в криптографии еще не разрешены, и из -за его влияния на безопасность этот домен срочно нуждается в специальных исследованиях. Мы проводим опрос с разработчиками, которые активно помогли сообществу Stack Overflow в этом домене понять потенциальные средства защиты от этой проблемы.
Эта статья естьДоступно на ArxivПод CC по лицензии 4.0.
Авторы:
(1) Мохаммедреза Хазхирпасанд, Оскар Ниерстраш, Университет Берна, Берн, Швейцария;
(2) Мохаммадхоссейн Шабани, Университет Азада, Рашт, Иран;
(3) Мохаммад Гафари, Школа компьютерных наук, Университет Окленда, Окленд, Новая Зеландия.
Оригинал