Validación empírica del uso de plantillas para la identificación de requerimientos de seguridad de aplicaciones de software
Guardado en:
| Autor: | |
|---|---|
| Formato: | tesis de maestría |
| Fecha de Publicación: | 2019 |
| Descripción: | La identificación de los requerimientos de seguridad es una tarea esencial que debe de ser abordada en las fases tempranas del ciclo de vida del desarrollo de software (SDLC). Usualmente es encomendada a ingenieros de software y a personal de TI en general, en caso de que no haya un ingeniero de requerimientos en la organización. No obstante, estos profesionales no son expertos en seguridad y podrían fallar al definir cuáles objetivos de seguridad deben estar presentes en un sistema, por lo que podrían generar pocos o inadecuados requerimientos de seguridad. En algunos casos, este proceso de extracción de requerimientos de seguridad no se realiza o se realiza hasta que el sistema está por ser liberado. En este contexto, la seguridad podría ser vista como opcional. Varios enfoques de ingeniería de requerimientos de seguridad han sido planteados para resolver parte de este problema. Sin embargo, estos enfoques todavía demandan que el profesional sea un experto en seguridad. Algunos investigadores han argumentado que el uso de plantillas de requerimientos podría ayudar a los profesionales a identificar los requerimientos de seguridad implícitos en los requerimientos funcionales. Riaz et al. (2014a) propuso un conjunto de 19 plantillas de requerimientos de seguridad vinculadas a seis objetivos de seguridad: confidencialidad, integridad, disponibilidad, identificación y autenticación, responsabilidad y privacidad. Este método fue diseñado para ayudar en la identificación de objetivos de seguridad implícitos en los requerimientos funcionales. En esta investigación, se realizaron dos replicaciones diferenciadas y se analizó la efectividad de las plantillas de requerimientos de seguridad para apoyar la identificación de los requerimientos de seguridad implícitos en los requerimientos funcionales. Para esto evaluamos el uso de las plantillas y comparamos los hallazgos obtenidos en estudios previos, en un contexto diferente. En el 2015, la primera replicación del experimento original fue realizada en la Universidad de Costa Rica (UCR). En 2018, realizamos las dos nuevas replicaciones en la UCR. Las respuestas de 17 participantes fueron analizadas en términos de calidad, cobertura, relevancia y eficiencia, y discutimos el impacto de los factores de contexto de las nuevas replicaciones. Los participantes fueron divididos en dos grupos: tratamiento y control. Al primero se le proporcionaron plantillas de requerimientos de seguridad, mientras que el segundo no recibió dicha ayuda. Las respuestas fueron comparadas con las obtenidas en la replicación del 2015 y en total se analizaron las respuestas de 33 participantes. La prueba de Mann-Whitney fue aplicada y los hallazgos obtenidos confirman algunos de los resultados previos: los grupos de tratamiento tuvieron un mejor desempeño que los grupos de control, en términos de la cobertura de los requerimientos de seguridad identificados. Además, el proceso de extracción de requerimientos tuvo un desempeño significativamente superior en cuanto a la relevancia de una de las dos replicaciones. Las plantillas de requerimientos de seguridad apoyaron a los participantes en la identificación de un conjunto básico de requerimientos de seguridad y los participantes se mostraron anuentes al uso de estas plantillas para la extracción de dichos requerimientos. |
| País: | Kérwá |
| Institución: | Universidad de Costa Rica |
| Repositorio: | Kérwá |
| OAI Identifier: | oai:kerwa.ucr.ac.cr:10669/79881 |
| Acceso en línea: | https://hdl.handle.net/10669/79881 |
| Palabra clave: | security requirements requirements engineering software engineering replication empirical study |