Rozšíření nástroje pro podporu agilního vývoje softwaru / Upgrade of Agile Development Support Tool

Trávník, Petr

January 2014

The goal of the diploma thesis "Upgrade of agile development support tool" is to study agile methodologies and its use in practice. Thesis is focused on the Scrum framework used by The Corporate Technology department of Siemens, s.r.o. in Brno. Furthermore the thesis analyzes and compares the most used software support tools for agile methodologies which also gives an inspiration for the upgrade of support tool used by the department of Siemens. Thesis identifies possible upgrades based on an analysis with the goal to make agile development even more effective. Results were consulted with the representative of the Siemens company and then modules for Code review and Retrospective were chosen to implement. Implementation consists even of some minor upgrades of the tool. Goals of all implemented upgrades were to save time, optimize administrative work and make development even more effective. Benefits and further upgrades are consulted at the end of the thesis.

Automated secure code review for web- applications / Automatiserad kodgranskning för webbapplikationer

Gholami, Sadeq, Amri, Zeineb

January 2021

Carefully scanning and analysing web- applications is important, in order to avoid potential security vulnerabilities, or at least reduce them. Traditional code reviewing methods, such as manual code reviews, have various drawbacks when performed on large codebases. Therefore it is appropriate to explore automated code reviewing tools and study their performance and reliability. The literature study helped identify various prerequisites, which facilitated the application of automated code reviewing tools. In a case study, two static analysis tools, CodeQL and Semgrep, were used to find security risks in three open source web- applications with already known vulnerabilities. The result of the case study indicates that the automated code reviewing tools are much faster and more efficient than the manual reviewing, and they can detect security vulnerabilities to a certain acceptable degree. However there are vulnerabilities that do not follow a pattern and are difficult to be identified with these tools, and need human intelligence to be detected. / Det är viktigt att skanna och analysera webbapplikationer noggrant för att undvika potentiella säkerhetsproblem eller åtminstone minska dem. Traditionella kodgranskningsmetoder, såsom manuella kodgranskningar, har olika nackdelar när de utförs på stora kodbaser. Därför är det lämpligt att utforska automatiserade verktyg för kodgranskning och studera deras prestanda och tillförlitlighet. Litteraturstudien hjälpte till att identifiera olika förutsättningar, som underlättade tillämpningen av automatiserade kodgranskningsverktyg. I en fallstudie användes två statiska analysverktyg, CodeQL och Semgrep, för att hitta säkerhetsrisker i tre open sourcewebbapplikationer med redan kända sårbarheter. Resultatet av fallstudien indikerar att de automatiska kodgranskningsverktygen är mycket snabbare och effektivare än de manualla kodgranskningar och att de kan upptäcka säkerhetsproblem i viss acceptabel grad. Det finns emellertid sårbarheter som inte följer ett mönster och som är svåra att identifiera med dessa verktyg, och behöver mänsklig intelligens för att upptäckas.

automated code reviewing tools

CodeQL

Semgrep

code review

security vulnerabilities

webapplications

automatiserade kodgranskningsverktyg

CodeQL

Semgrep

kodgranskning

säkerhet sårbarheter

webbapplikationer

Computer and Information Sciences

Data- och informationsvetenskap

Code Review Application : Simplifying code review through data flow visualization

Möllerström, Viktor, Roos, Jesper

January 2023

From a security standpoint, manual code review is widely regarded as a dependable practice, particularly in systems with heightened security needs. However, it is also a time-consuming and laborious task that requires careful consideration. To address this issue, this project aims to explore the feasibility of an application that would present graphical presentations of data flow, which would simplify the manual review process. Input data is an excellent starting point when searching for security vulnerabilities in a program. For that reason, input data traversal is of significant interest when conducting code review with respect to security. The application will track the input data flow through function calls in the program to facilitate the task of identifying which functions require closer examination. The development of such anapplication is a significant undertaking, and therefore, the decision is made to limit the scope of the project to a proof of concept that will function on smaller programs.The findings indicate that the developed application possesses the capability to perform input data backtracking across function calls. However, it is important to note that a functional forward tracking algorithm has not been integrated into the application at present. Despite this limitation, the feasibility of fully realizing the project is perceived to hold promising potential within the code review market.

data flow

visualization

code review

security

Software Engineering

Programvaruteknik

Information Systems

Computer Engineering

Datorteknik

Other Computer and Information Science

Annan data- och informationsvetenskap

Distributed Trace Comparisons for Code Review : A System Design and Practical Evaluation

Rabo, Hannes

January 2020

Ensuring the health of a distributed system with frequent updates is complicated. Many tools exist to improve developers’ comprehension and productivity in this task, but room for improvement exists. Based on previous research within request flow comparison, we propose a system design for using distributed tracing data in the process of reviewing code changes. The design is evaluated from the perspective of system performance and developer productivity using a critical production system at a large software company. The results show that the design has minimal negative performance implications while providing a useful service to the developers. They also show a positive but statistically insignificant effect on productivity during the evaluation period. To a large extent, developers adopted the tool into their workflow to explore and improve system understanding. This use case deviates from the design target of providing a method to compare changes between software versions. We conclude that the design is successful, but more optimization of functionality and a higher rate of adoption would likely improve the effects the tool could have. / Att säkerställa stabilitet i ett distribuerat system med hög frekvens av uppdateringar är komplicerat. I dagsläget finns många verktyg som hjälper utvecklare i deras förståelse och produktivitet relaterat till den här typen av problem, dock finns fortfarande möjliga förbättringar. Baserat på tidigare forskning inom teknik för att jämföra protokollförfrågningsflöden mellan mjukvaruversioner så föreslår vi en systemdesign för ett nytt verktyg. Designen använder sig av data från distribuerad tracing för att förbättra arbetsflödet relaterat till kodgranskning. Designen utvärderas både prestanda och produktivitetsmässigt under utvecklingen av ett affärskritiskt produktionssystem på ett stort mjukvaruföretag. Resultaten visar att designen har mycket låg inverkan på prestandan av systemet där det införs, samtidigt som den tillhandahåller ett användbart verktyg till utvecklarna. Resultaten visar också på en positiv men statistiskt insignifikant effekt på utvecklarnas produktivitet. Utvecklarna använde primärt verktyget för att utforska och förbättra sin egen förståelse av systemet som helhet. Detta användningsområde avvek från det ursprungliga målet med designen, vilket var att tillhandahålla en tjänst för att jämföra mjukvaruversioner med varandra. Från resultaten drar vi slutsatsen att designen som helhet var lyckad, men mer optimering av funktionalitet och mer effektivt införande av verktyget i arbetsflödet hade troligtvis resulterat i större positiva effekter på organisationen.

Distributed tracing

Request flow comparison

Developer productivity

Code review

Distributed systems

Distribuerad tracing

produktivitet hos utvecklare

Kodgranskning

Distribuerade systems

Software Engineering

Programvaruteknik