•  
  •  
 
RELCASI

DOI

10.17705/1relc.00070

Abstract

There is little information on the adoption of agile methodologies in Latin America, and there is a percentage of professionals who receive little formal training. This article aims to identify and describe the interest of team members who use agile methods in software development in vulnerability detection techniques and tools (VDTT). To do so, a survey was proposed listing 18 techniques and tools that make up three well-known processes of secure software development, namely: McGraw Process, OWASP CLASP and Howard and Lipner's activities. The survey was applied to 111 members of agile software development teams who have already deployed, are in the process of deploying, or are going to deploy vulnerability detection techniques and tools in the projects. The participants of the survey were: (1) requirements analysts; (2) software architects; (3) developers; and (4) testers. Some organizations have specific members of agile teams, such as security experts, scrum masters, product owners, and agile coaches. From the collected data it was possible, by means of statistical techniques like Fisher's Exact Test and measures of Lambda and Gama associations, to identify relationships between interest in the use of VDTT and the adoption of agile methods and the adoption of software quality frameworks and services.

Existe poca información sobre la adopción de metodologías ágiles en América Latina, y hay un porcentaje de profesionales que reciben poca formación formal. Este artículo tiene como objetivo identificar y describir el interés de los miembros del equipo que utilizan métodos ágiles en el desarrollo de software en técnicas y herramientas de detección de vulnerabilidades (TFDV). Para ello, se propuso una encuesta que enumera 18 técnicas y herramientas que componen tres conocidos procesos de desarrollo de software seguro, a saber: McGraw Process, OWASP CLASP y las actividades de Howard y Lipner. La encuesta se aplicó a 111 miembros de equipos de desarrollo de software ágil que ya se han implementado, están en proceso de implementación o van a implementar técnicas y herramientas de detección de vulnerabilidades en sus proyectos. Los participantes de la encuesta fueron: (1) analistas de requisitos; (2) arquitectos de software; (3) desarrolladores; y (4) probadores. Algunas organizaciones de la muestra tienen miembros específicos de equipos ágiles, como expertos en seguridad, Scrum Masters, propietarios de productos y coaches ágiles. A partir de los datos recopilados, fue posible utilizar técnicas estadísticas Fisher Exact Test y medidas de asociaciones Lambda y Gama para identificar relaciones entre el interés en el uso de TFDV y la adopción de métodos ágiles y la adopción de marcos de software y calidad de servicio.

Há poucas informações sobre a adoção de metodologias ágeis na América Latina, e há um percentual de profissionais que recebem pouco treinamento formal. Este artigo visa identificar e descrever o interesse dos membros de equipes que usam métodos ágeis no desenvolvimento de software em técnicas e ferramentas de detecção de vulnerabilidades (TFDV). Para tanto, foi proposto um survey que lista 18 técnicas e ferramentas que compõem três conhecidos processos de desenvolvimento de software seguro, a saber: Processo de McGraw, OWASP CLASP e as atividades de Howard e Lipner. O survey foi aplicado a 111 membros de equipes de desenvolvimento ágil de software que já implantaram, estão em processo de implantação ou ainda vão implantar técnicas e ferramentas de detecção de vulnerabilidades nos projetos. Os participantes do survey foram: (1) analistas de requisitos; (2) arquitetos de software; (3) desenvolvedores; e (4) testadores. Algumas organizações da amostra possuem membros específicos de equipes ágeis, tais como especialistas em segurança, Scrum masters, product owners e agile coaches. A partir dos dados coletados foi possível por meio das técnicas estatísticas Fisher Exact Test e medidas de associações Lambda e Gama identificar relações entre interesse no uso de TFDV e a adoção de métodos ágeis e a adoção de frameworks de qualidade de software e serviços.

Share

COinS