De verborgen kosten van ducttape-software

Afgelopen zomer lagen vliegvelden en ziekenhuizen plat , en dat allemaal door een foutieve update van een cybersecurityprogramma dat Windows liet vastlopen. Ter gelegenheid van oktober cybersecuritymaand vertelt Hoogleraar Software Engineering Paris Avgeriou over de kosten van verborgen problemen die grote gevolgen kunnen hebben. Avgeriou werkt samen met bedrijven om dergelijke problemen op te sporen, zodat de gevolgen beperkt blijven. 

FSE Science Newsroom | Tekst Charlotte Vlek | Beeld Leoni von Ristok

‘Stel je voor, je bouwt een auto,’ beschrijft Avgeriou. ‘Je hebt een ontwerp gemaakt, en bent bezig een prototype te bouwen. Dan kom je erachter dat twee onderdelen in de motor net niet goed in elkaar passen. Dan zou je eigenlijk terug moeten naar de tekentafel. Maar dat doe je niet, want je hebt geen tijd meer. In plaats daarvan gebruik je wat ducttape om de boel in elkaar te plakken. En dat werkt! Althans, goed genoeg, niemand die het merkt, zolang ze niet onder de motorkap kijken. En je denkt bij jezelf: later ga ik dit nog wel even repareren.’

‘Softwareontwikkelaars gebruiken vaker ducttape-oplossingen dan je misschien zou verwachten,’ weet Avgeriou. ‘Elke softwareontwikkelaar wil natuurlijk graag iets moois afleveren, maar een bedrijf staat vaak onder druk om snel de markt op te gaan, en dan worden er suboptimale keuzes gemaakt.’ En vervolgens verwatert het voornemen om daar later nog eens iets beters van de maken. 

Zo had de update die vliegvelden platlegde bijvoorbeeld bijtijds opgemerkt kunnen worden als Windows een ingebouwd mechanisme had gehad om foutieve software op te merken in de kernel, het binnenste van het besturingssysteem. ‘Dan was de oplossing heel simpel geweest: gewoon de foutieve software stopzetten en de update terugdraaien. Maar het inbouwen van zo’n systeem is een grote ingreep, omdat het een onhandige keuze van zo’n tien jaar geleden moet herstellen,’ vertelt Avgeriou.

Schuld en rente

Technical debt noemt men het in de software wereld: de verborgen kosten van zulke suboptimale keuzes. Want als je eenmaal begonnen bent met figuurlijke ducttape plakken om problemen op te lossen, worden aanpassingen daarna ook moeilijker, en ga je al gauw nóg een beetje ducttape plakken. De kosten om dat later nog te herstellen worden groter, als de rente die je moet betalen over een schuld. 

De term technical debt bestaat al sinds 1992, maar pas zo’n vijftien jaar geleden kwam het als onderzoeksveld echt op gang. Avgeriou: ‘Dat heeft alles te maken met software die steeds groter en complexer werd. Het probleem van technical debt is voor gebruikers onzichtbaar, maar begon voor CEO’s en CTO’s een enorm donkere wolk te worden.’ Avgeriou was één van de vormgevers van dat internationale onderzoeksveld. Zijn eigen onderzoek vindt vaak plaats in samenwerking met bedrijven: hij gaat op zoek naar de ducttape in hun computersystemen, maakt schattingen van de kosten die het zal vergen om dit plakwerk te repareren, en wijst aan wat het meest nodig gerepareerd moet worden met het oog op de rente die het anders zal kosten.  

Onder de motorkap kijken

Avgeriou’s onderzoeksgroep heeft verschillende tools ontwikkeld die kunnen opsporen wanneer er onder de motorkap iets niet helemaal in de haak is. De softwaretool Arcan kan bijvoorbeeld technical debt identificeren en meten in de softwarearchitectuur, wat de duurste soort is. Inmiddels is de PhD-student die deze tool ontwikkelde gepromoveerd, en runt nu een spin-off bedrijfje, ook met de naam Arcan.

‘Hoewel de softwareontwikkelaars wel inzien dat het systeem rommelig in elkaar zit, wordt vaak niet naar hen geluisterd door de managers. Maar zodra je de managers vertelt dat er een miljoen euro aan schulden in het systeem verborgen zit, dan luisteren ze wel. En het gaat dus om écht geld,’ benadrukt Avgeriou: ‘de kosten die je daadwerkelijk moet betalen om op een later moment je software te repareren.’ Of de kosten van een shutdown zoals die van afgelopen zomer, die vele sectoren lam legde.

Ook helpt Avgeriou met zijn team bedrijven om te bepalen welke problemen echt als eerste moeten worden aangepakt. ‘Soms kun je wel wat ducttape laten zitten,’ legt hij uit, ‘zolang het maar niet verder groeit.’ In het bijzonder werkt hij veel samen met de noordelijke high-tech industrie, ook in zijn nieuwe rol als directeur van de Engineering Doctorate Autonomous Systems. Avgeriou: ‘Kijk, je kunt op kantoor zitten en zelf problemen bedenken, maar het is mijn passie om samen te werken met bedrijven en hun problemen te helpen oplossen.’ Of hij ook eens met de Belastingdienst zou willen samenwerken? ‘Ja, heel graag. Ik denk dat ze vast wel wat interessante technical debt hebben in hun software van tientallen jaren oud.’