Key points are not available for this paper at this time.
Relatos de problemas de segurança são o principal meio de informar as equipes de desenvolvimento sobre riscos de segurança em projetos, mas pouco se sabe sobre as práticas atuais. Nosso objetivo é entender as características desses relatos em projetos de código aberto e descobrir oportunidades para melhorar as práticas dos desenvolvedores. Analisamos 3.493 relatos de problemas de segurança em 182 projetos diferentes no GitHub e estudamos manualmente 333 relatos, juntamente com suas discussões e pull requests. Descobrimos que, o número de relatos de problemas de segurança aumentou ao longo do tempo, eles são resolvidos mais rapidamente e são relatados em etapas de desenvolvimento mais iniciais em comparação aos anos passados. No entanto, um pequeno grupo de desenvolvedores está frequentemente envolvido, os problemas de segurança progridem lentamente, e um grande número deles está pendente há muito tempo. Percebemos que apenas um pequeno subconjunto de relatos de problemas de segurança inclui dados de reprodutibilidade, uma solução potencial raramente é sugerida, e não há indicação de como um relator identificou um problema. Observamos que o tempo de resolução de um problema é significativamente mais curto quando a primeira reação a um relato de segurança é rápida e quando existe uma referência a uma vulnerabilidade conhecida.
Bühlmann et al. (Mon,) estudaram essa questão.