[pt] Os defeitos nas especificações de requisitos podem ter consequências graves
durante o ciclo de vida de desenvolvimento de software. Alguns deles resultam
em uma falha geral do projeto devido a características de qualidade
incorretas ou ausentes, como segurança. Existem várias preocupações que
tornam a segurança difícil de lidar; por exemplo, (1) quando as partes interessadas
discutem os requisitos gerais nas reuniões, muitas vezes não estão
cientes que também devem discutir tópicos relacionados à segurança. (2)
Normalmente as equipes de desenvolvimento não possuem conhecimentos
de segurança suficientes. Isto geralmente leva a aspectos de segurança não
especificados ou mal definidos. Essas preocupações tornam-se ainda mais
desafiadoras em contextos de desenvolvimento ágil, nos quais a documentação
leve geralmente está envolvida. O objetivo desta dissertação é projetar
e avaliar uma abordagem para suportar a revisão de aspectos relacionados
à segurança em especificações de requisitos ágeis de aplicativos web.
A abordagem projetada considera estórias de usuário e especificações de
segurança como entradas e relaciona essas estórias de usuário a propriedades
de segurança através de técnicas de Processamento de Linguagem
Natural. Com base nas propriedades de segurança relacionadas, nossa abordagem
identifica os requisitos de segurança de alto nível do OWASP (Open
Web Application Security Project) a serem verificados e gera uma técnica
de leitura focada para dar suporte aos revisores na detecção de defeitos.
Avaliamos nossa abordagem rodando dois experimentos controlados. Comparamos
a eficácia e a eficiência de inspetores novatos que verificam aspectos
de segurança em requisitos ágeis usando nossa técnica de leitura contra o
uso da lista completa de requisitos de segurança de alto nível do OWASP.
Os resultados (estatisticamente significativos) indicam que o uso da nossa
abordagem tem um impacto positivo (com tamanho de efeito muito grande)
no desempenho dos inspetores em termos de eficácia e eficiência. / [en] Defects in requirements specifications can have severe consequences during
the software development life cycle. Some of them result in overall project
failure due to incorrect or missing quality characteristics such as security.
There are several concerns that make security difficult to deal with; for instance,
(1) when stakeholders discuss general requirements in (review) meetings,
they are often not aware that they should also discuss security-related
topics, and (2) they typically do not have enough expertise in security.
This often leads to unspecified or ill-defined security aspects. These concerns
become even more challenging in agile development contexts, where
lightweight documentation is typically involved. The goal of this dissertation
is to design and evaluate an approach to support reviewing security-related
aspects in agile requirements specifications of web applications. The designed
approach considers user stories and security specifications as input
and relates those user stories to security properties via Natural Language
Processing (NLP). Based on the related security properties, our approach
then identifies high-level security requirements from the Open Web Application
Security Project (OWASP) to be verified and generates a focused
reading technique to support reviewers in detecting defects. We evaluate
our approach via two controlled experiment trials. We compare the effectiveness
and efficiency of novice inspectors verifying security aspects in agile
requirements using our reading technique against using the complete list of
OWASP high-level security requirements. The (statistically significant) results
indicate that using our approach has a positive impact (with very large
effect size) on the performance of inspectors in terms of effectiveness and
efficiency.
| Identifer | oai:union.ndltd.org:puc-rio.br/oai:MAXWELL.puc-rio.br:51433 |
| Date | 04 February 2021 |
| Creators | HUGO RICARDO GUARIN VILLAMIZAR |
| Contributors | MARCOS KALINOWSKI, MARCOS KALINOWSKI, MARCOS KALINOWSKI |
| Publisher | MAXWELL |
| Source Sets | PUC Rio |
| Language | English |
| Detected Language | English |
| Type | TEXTO |
Page generated in 0.0021 seconds