De verborgen kosten van ducttape-software
Afgelopen zomer lagen vliegvelden en ziekenhuizen plat , en dat allemaal door een foutieve update van een cybersecurityprogramma dat Windows liet vastlopen. Ter gelegenheid van oktober cybersecuritymaand vertelt Hoogleraar Software Engineering Paris Avgeriou over de kosten van verborgen problemen die grote gevolgen kunnen hebben. Avgeriou werkt samen met bedrijven om dergelijke problemen op te sporen, zodat de gevolgen beperkt blijven.
FSE Science Newsroom | Tekst Charlotte Vlek | Beeld Leoni von Ristok
Software-ontwikkelaars gebruiken vaker ducttape-oplossingen dan je misschien zou verwachten
‘Stel je voor, je bouwt een auto,’ beschrijft Avgeriou. ‘Je hebt een ontwerp gemaakt, en bent bezig een prototype te bouwen. Dan kom je erachter dat twee onderdelen in de motor net niet goed in elkaar passen. Dan zou je eigenlijk terug moeten naar de tekentafel. Maar dat doe je niet, want je hebt geen tijd meer. In plaats daarvan gebruik je wat ducttape om de boel in elkaar te plakken. En dat werkt! Althans, goed genoeg, niemand die het merkt, zolang ze niet onder de motorkap kijken. En je denkt bij jezelf: later ga ik dit nog wel even repareren.’
‘Softwareontwikkelaars gebruiken vaker ducttape-oplossingen dan je misschien zou verwachten,’ weet Avgeriou. ‘Elke softwareontwikkelaar wil natuurlijk graag iets moois afleveren, maar een bedrijf staat vaak onder druk om snel de markt op te gaan, en dan worden er suboptimale keuzes gemaakt.’ En vervolgens verwatert het voornemen om daar later nog eens iets beters van de maken.
Zo had de update die vliegvelden platlegde bijvoorbeeld bijtijds opgemerkt kunnen worden als Windows een ingebouwd mechanisme had gehad om foutieve software op te merken in de kernel, het binnenste van het besturingssysteem. ‘Dan was de oplossing heel simpel geweest: gewoon de foutieve software stopzetten en de update terugdraaien. Maar het inbouwen van zo’n systeem is een grote ingreep, omdat het een onhandige keuze van zo’n tien jaar geleden moet herstellen,’ vertelt Avgeriou.
Schuld en rente
Technical debt noemt men het in de software wereld: de verborgen kosten van zulke suboptimale keuzes. Want als je eenmaal begonnen bent met figuurlijke ducttape plakken om problemen op te lossen, worden aanpassingen daarna ook moeilijker, en ga je al gauw nóg een beetje ducttape plakken. De kosten om dat later nog te herstellen worden groter, als de rente die je moet betalen over een schuld.
De grootste cybersecuritykwetsbaarheid ooit werd veroorzaakt door een klein stukje open-source software: Log4j. Avgeriou: ‘Het is een softwarebibliotheek die gegevens bijhoudt terwijl de een programma loopt. Dat is bijvoorbeeld handig om later nog eens terug te kijken waarom er een probleem optrad. Ruim 90 procent van alle webdiensten maakten gebruik van Log4j toen in 2021 ineens ontdekt werd dat er een kwetsbaarheid in zat.’
Dat zou betekenen dat al die webdiensten die er op voortbouwden het risico liepen dat ze gehackt zouden worden, met een storing of gestolen gegevens als gevolg. ‘Het probleem was vrij snel verholpen,’ vertelt Avgeriou, ‘maar hebben alle diensten die er gebruik van maken ook hun software geüpdate?’
‘Het updaten van externe software kost altijd wat moeite, en vaak geeft een bedrijf prioriteit aan nieuwe features, dus stellen bedrijven het uit. Dus wordt het ook een vorm van technical debt, met alle veiligheidsrisico’s van dien,’ legt Avgeriou uit. Door de kosten van technical debt uit te drukken in euro’s, en de cybersecurity-gevaren duidelijk te maken, hoopt hij bedrijven te motiveren om er echt wat aan te doen.
De term technical debt bestaat al sinds 1992, maar pas zo’n vijftien jaar geleden kwam het als onderzoeksveld echt op gang. Avgeriou: ‘Dat heeft alles te maken met software die steeds groter en complexer werd. Het probleem van technical debt is voor gebruikers onzichtbaar, maar begon voor CEO’s en CTO’s een enorm donkere wolk te worden.’ Avgeriou was één van de vormgevers van dat internationale onderzoeksveld. Zijn eigen onderzoek vindt vaak plaats in samenwerking met bedrijven: hij gaat op zoek naar de ducttape in hun computersystemen, maakt schattingen van de kosten die het zal vergen om dit plakwerk te repareren, en wijst aan wat het meest nodig gerepareerd moet worden met het oog op de rente die het anders zal kosten.
Onder de motorkap kijken
Avgeriou’s onderzoeksgroep heeft verschillende tools ontwikkeld die kunnen opsporen wanneer er onder de motorkap iets niet helemaal in de haak is. De softwaretool Arcan kan bijvoorbeeld technical debt identificeren en meten in de softwarearchitectuur, wat de duurste soort is. Inmiddels is de PhD-student die deze tool ontwikkelde gepromoveerd, en runt nu een spin-off bedrijfje, ook met de naam Arcan.
En het gaat dus om écht geld: de kosten die je daadwerkelijk moet betalen om op een later moment je software te repareren
‘Hoewel de softwareontwikkelaars wel inzien dat het systeem rommelig in elkaar zit, wordt vaak niet naar hen geluisterd door de managers. Maar zodra je de managers vertelt dat er een miljoen euro aan schulden in het systeem verborgen zit, dan luisteren ze wel. En het gaat dus om écht geld,’ benadrukt Avgeriou: ‘de kosten die je daadwerkelijk moet betalen om op een later moment je software te repareren.’ Of de kosten van een shutdown zoals die van afgelopen zomer, die vele sectoren lam legde.
Ook helpt Avgeriou met zijn team bedrijven om te bepalen welke problemen echt als eerste moeten worden aangepakt. ‘Soms kun je wel wat ducttape laten zitten,’ legt hij uit, ‘zolang het maar niet verder groeit.’ In het bijzonder werkt hij veel samen met de noordelijke high-tech industrie, ook in zijn nieuwe rol als directeur van de Engineering Doctorate Autonomous Systems. Avgeriou: ‘Kijk, je kunt op kantoor zitten en zelf problemen bedenken, maar het is mijn passie om samen te werken met bedrijven en hun problemen te helpen oplossen.’ Of hij ook eens met de Belastingdienst zou willen samenwerken? ‘Ja, heel graag. Ik denk dat ze vast wel wat interessante technical debt hebben in hun software van tientallen jaren oud.’
Laatst gewijzigd: | 02 december 2024 15:49 |
Meer nieuws
-
20 december 2024
NWO M1-subsidie voor drie FSE-onderzoekers
Dr. Antonija Grubišić-Čabo, dr. Robbert Havekes en prof. dr. ir. Jan Komdeur ontvangen een NWO M1-subsidie.
-
19 december 2024
NWO ENW-XL-miljoenenbeurzen voor onderzoeksprojecten RUG
Vier onderzoekers van de Faculty of Science and Engineering (RUG) ontvangen NWO beurzen van 3 miljoen euro voor hun onderzoeksprojecten.
-
19 december 2024
Jacquelien Scherpen geëerd met Hendrik W. Bode Lecture Prize 2025
Vanwege haar verdiensten voor de wetenschappelijke ontwikkelingen van regelsystemen en -techniek heeft Rector Magnificus Jacquelien Scherpen de 2025 Hendrik W. Bode Lecture prijs ontvangen van de IEEE Control Systems Society (CSS).