Software Security Culture in Development Teams: An Empirical Study

Abstract

Denne oppgaven undersøker faktorer som påvirker sikkerhetskultur i smidig utvikling. Vi definerer programvaresikkerhetskultur som summen av utviklers kunnskap, motivasjon, holdninger og handlinger som påvirker hvordan et utviklingsteam lager tilstrekkelig sikker kode. Det inkluderer også bruk av verktøy, rutiner og praksis som påvirker sikkerheten i den ferdige koden.

Dette er en empirisk studie basert på intervjuer med totalt 21 utviklere ansatt i 13 ulike konsulentselskaper med kontorer i Norge. Funnene våre er knyttet til individuelle, organisatoriske og materielle faktorer som påvirker programvaresikkerhetskulturen i utviklerteam. Faktorene er diskutert i kontekst av tidligere forskning.

Funnene våre inkluderer individets interesse, gruppedynamikk, sikkerhetsroller og sikkerhetstrening. Vi har sett at individets sikkerhetsinteresse bidrar til teamets sikkerhetsarbeid. I tillegg bidrar individer til organisasjonens holdninger og til å spre kunnskap om sikkerhet via fagdager og diskusjoner. Psykologisk trygghet er viktig for å prestere i team og på et organisatorisk nivå. Sikkerhetsarbeidet varierer ut fra hvilket produkt teamet utvikler. En sikkerhetsrolle har positiv innflytelse på sikkerhetsarbeidet i et team. Både konsulentselskaper og utdanningsinstitusjoner mangler tilstrekkelig sikkerhetsopplæring.

Basert på disse funnene har vi kommet opp med noen anbefalinger. Sikkerhet bør inn som en større del i studieprogrammer der man utdanner utviklere. Videre bør konsulentselskaper tilby et introduksjonskurs til alle nyansatte for å øke bevissthet og kunnskap. Flere prosjekter bør introdusere en sikkerhetsrolle med definerte oppgaver.

Programvaresikkerhetskultur er et komplekst tema. Vi har undersøkt individuelle, organisatoriske og materielle faktorer fra et informasjonssikkerhetsståsted. Videre påvirkes programvaresikkerhet av andre fagfelt som for eksempel strategi, ledelse, sosialantropologi og organisasjonspsykologi.

This thesis explores what factors that influence security culture in agile software development. We define software security culture as the sum of the developers’ knowledge, motivation, attitudes, and behaviours that affect how the development team develops adequately secure code. It also covers the development teams’ use of tools and their routines and practices that affect the quality of the finished software.

This thesis presents an empirical study based on interviews with a total of 21 developers in 13 different consulting firms with offices in Norway. Our findings are related to individual, organisational and material factors influencing software security culture in development teams. These are discussed in light of earlier research.

Findings include an individual’s interest, group dynamics, security roles and security training. We have seen that the individual’s security interest contributes to the team’s security efforts. Additionally, individuals contribute to the organisation’s attitude and share security knowledge through competence days and security discussions. Psychological safety is important for performing within the team and at an organisational level. The security work varies depending on what product the team develops. A security role positively influences the security work on a team. Further, both consultancies and educational institutions lack adequate security training.

Based on our research, we derive some recommendations. Security should be a compulsory part of study programs that educate developers. Additionally, consultancies should provide introductory security courses to all new employees. More projects should initiate a security role with defined tasks, responsibilities and mandate.

Software security culture is an interconnected field. We have researched individual, organisational and material aspects from an information security perspective. The field of software security culture influence other fields of expertise such as strategy and management, social anthropology and organisational psychology.