The role of expertise on code review for security: An eye tracking study

Abstract

Yazılımın kalitesini artırmak ve güvenlik açıklarını bulmak için yazılım geliştirme aktivitileri sırasında genellikle kod gözden geçirme yapılır. Kodu gözden geçiren yazılımcıların tecrübeleri kod gözden geçirmenin kalitesini etkileyebilir. Bu çalışma, koddaki güvenlik açıklarının tespiti konusunda uzmanlar ve acemiler arasındaki farkların göz takibi ile tanımlanıp tanımlanamayacağını araştırmaktadır. Güvenlik açıklıkları gözden geçirmesi için program kodlarının incelenmesi sırasında katılımcıların göz hareketleri göz takip cihazı ile kaydedilmiştir. Deney toplam yirmi programlama katılımcısı ile gerçekleştirilmiştir. Sonuçlar, acemilerin ve uzmanların kod incelemesi arasındaki farkları belirlemek için göz takibinin kullanılabileceğini göstermiştir.

To improve the quality of the software and find security vulnerabilities, code review is usually performed during software development activities. The experience of software developers reviewing the code may affect the quality of the code review. This study investigates whether differences between novices and experts in the detection of vulnerabilities in the code can be identified by eye tracking. Participants' eye movements were recorded by an eye tracker while they investigated program codes for security review. The experiment was carried out with 20 programmer participants. The results showed that eye tracking can be used to identify the differences between the code review of novices and experts.