De verborgen kosten van ducttape-software
Afgelopen zomer lagen vliegvelden en ziekenhuizen plat , en dat allemaal door een foutieve update van een cybersecurityprogramma dat Windows liet vastlopen. Ter gelegenheid van oktober cybersecuritymaand vertelt Hoogleraar Software Engineering Paris Avgeriou over de kosten van verborgen problemen die grote gevolgen kunnen hebben. Avgeriou werkt samen met bedrijven om dergelijke problemen op te sporen, zodat de gevolgen beperkt blijven.
FSE Science Newsroom | Tekst Charlotte Vlek | Beeld Leoni von Ristok
Software-ontwikkelaars gebruiken vaker ducttape-oplossingen dan je misschien zou verwachten
‘Stel je voor, je bouwt een auto,’ beschrijft Avgeriou. ‘Je hebt een ontwerp gemaakt, en bent bezig een prototype te bouwen. Dan kom je erachter dat twee onderdelen in de motor net niet goed in elkaar passen. Dan zou je eigenlijk terug moeten naar de tekentafel. Maar dat doe je niet, want je hebt geen tijd meer. In plaats daarvan gebruik je wat ducttape om de boel in elkaar te plakken. En dat werkt! Althans, goed genoeg, niemand die het merkt, zolang ze niet onder de motorkap kijken. En je denkt bij jezelf: later ga ik dit nog wel even repareren.’
‘Softwareontwikkelaars gebruiken vaker ducttape-oplossingen dan je misschien zou verwachten,’ weet Avgeriou. ‘Elke softwareontwikkelaar wil natuurlijk graag iets moois afleveren, maar een bedrijf staat vaak onder druk om snel de markt op te gaan, en dan worden er suboptimale keuzes gemaakt.’ En vervolgens verwatert het voornemen om daar later nog eens iets beters van de maken.
Zo had de update die vliegvelden platlegde bijvoorbeeld bijtijds opgemerkt kunnen worden als Windows een ingebouwd mechanisme had gehad om foutieve software op te merken in de kernel, het binnenste van het besturingssysteem. ‘Dan was de oplossing heel simpel geweest: gewoon de foutieve software stopzetten en de update terugdraaien. Maar het inbouwen van zo’n systeem is een grote ingreep, omdat het een onhandige keuze van zo’n tien jaar geleden moet herstellen,’ vertelt Avgeriou.
Schuld en rente
Technical debt noemt men het in de software wereld: de verborgen kosten van zulke suboptimale keuzes. Want als je eenmaal begonnen bent met figuurlijke ducttape plakken om problemen op te lossen, worden aanpassingen daarna ook moeilijker, en ga je al gauw nóg een beetje ducttape plakken. De kosten om dat later nog te herstellen worden groter, als de rente die je moet betalen over een schuld.
De grootste cybersecuritykwetsbaarheid ooit werd veroorzaakt door een klein stukje open-source software: Log4j. Avgeriou: ‘Het is een softwarebibliotheek die gegevens bijhoudt terwijl de een programma loopt. Dat is bijvoorbeeld handig om later nog eens terug te kijken waarom er een probleem optrad. Ruim 90 procent van alle webdiensten maakten gebruik van Log4j toen in 2021 ineens ontdekt werd dat er een kwetsbaarheid in zat.’
Dat zou betekenen dat al die webdiensten die er op voortbouwden het risico liepen dat ze gehackt zouden worden, met een storing of gestolen gegevens als gevolg. ‘Het probleem was vrij snel verholpen,’ vertelt Avgeriou, ‘maar hebben alle diensten die er gebruik van maken ook hun software geüpdate?’
‘Het updaten van externe software kost altijd wat moeite, en vaak geeft een bedrijf prioriteit aan nieuwe features, dus stellen bedrijven het uit. Dus wordt het ook een vorm van technical debt, met alle veiligheidsrisico’s van dien,’ legt Avgeriou uit. Door de kosten van technical debt uit te drukken in euro’s, en de cybersecurity-gevaren duidelijk te maken, hoopt hij bedrijven te motiveren om er echt wat aan te doen.
De term technical debt bestaat al sinds 1992, maar pas zo’n vijftien jaar geleden kwam het als onderzoeksveld echt op gang. Avgeriou: ‘Dat heeft alles te maken met software die steeds groter en complexer werd. Het probleem van technical debt is voor gebruikers onzichtbaar, maar begon voor CEO’s en CTO’s een enorm donkere wolk te worden.’ Avgeriou was één van de vormgevers van dat internationale onderzoeksveld. Zijn eigen onderzoek vindt vaak plaats in samenwerking met bedrijven: hij gaat op zoek naar de ducttape in hun computersystemen, maakt schattingen van de kosten die het zal vergen om dit plakwerk te repareren, en wijst aan wat het meest nodig gerepareerd moet worden met het oog op de rente die het anders zal kosten.
Onder de motorkap kijken
Avgeriou’s onderzoeksgroep heeft verschillende tools ontwikkeld die kunnen opsporen wanneer er onder de motorkap iets niet helemaal in de haak is. De softwaretool Arcan kan bijvoorbeeld technical debt identificeren en meten in de softwarearchitectuur, wat de duurste soort is. Inmiddels is de PhD-student die deze tool ontwikkelde gepromoveerd, en runt nu een spin-off bedrijfje, ook met de naam Arcan.
En het gaat dus om écht geld: de kosten die je daadwerkelijk moet betalen om op een later moment je software te repareren
‘Hoewel de softwareontwikkelaars wel inzien dat het systeem rommelig in elkaar zit, wordt vaak niet naar hen geluisterd door de managers. Maar zodra je de managers vertelt dat er een miljoen euro aan schulden in het systeem verborgen zit, dan luisteren ze wel. En het gaat dus om écht geld,’ benadrukt Avgeriou: ‘de kosten die je daadwerkelijk moet betalen om op een later moment je software te repareren.’ Of de kosten van een shutdown zoals die van afgelopen zomer, die vele sectoren lam legde.
Ook helpt Avgeriou met zijn team bedrijven om te bepalen welke problemen echt als eerste moeten worden aangepakt. ‘Soms kun je wel wat ducttape laten zitten,’ legt hij uit, ‘zolang het maar niet verder groeit.’ In het bijzonder werkt hij veel samen met de noordelijke high-tech industrie, ook in zijn nieuwe rol als directeur van de Engineering Doctorate Autonomous Systems. Avgeriou: ‘Kijk, je kunt op kantoor zitten en zelf problemen bedenken, maar het is mijn passie om samen te werken met bedrijven en hun problemen te helpen oplossen.’ Of hij ook eens met de Belastingdienst zou willen samenwerken? ‘Ja, heel graag. Ik denk dat ze vast wel wat interessante technical debt hebben in hun software van tientallen jaren oud.’
Laatst gewijzigd: | 10 oktober 2024 11:10 |
Meer nieuws
-
13 november 2024
Kunnen we op deze planeet leven zonder hem te vernietigen?
Hoeveel land, water of andere hulpbronnen kost onze levensstijl precies? En hoe kunnen we dit aanpassen, zodat we binnen de grenzen blijven van wat de aarde ons kan geven?
-
13 november 2024
Emergentie-onderzoek in de kosmologie ontvangt NWA-ORC-subsidie
Emergentie in de kosmologie - Het doel van het onderzoek is oa te begrijpen hoe ruimte, tijd, zwaartekracht en het universum uit bijna niets lijken te ontstaan. Meer informatie hierover in het nieuwsbericht.
-
08 november 2024
NWO-ORC toekenningen voor FSE onderzoekers vanuit Nationale Wetenschapsagenda
Onderzoekers van de Faculty of Science and Engineering hebben twee grote NWO subsidies toegekend gekregen voor wereldwijd biodiversiteitsherstel en onderzoek naar het ontstaan van leven.