National Transport Library Research Database

Socialpsykologiska aspekter av säker agil mjukvaruutveckling (Psycurity) (Social-psychological aspects of secure agile software engineering (Psycurity))

Sponsors, duration, budget: Trafikverket ; 2025-06-01 -- 2027-05-31 ; 2 031 000 kronorRegistration number:
  • Trafikverket 2025/26918
Summary: Vi vill i detta projekt utforska hur socialpsykologiska faktorer påverkar säkerheten i mjukvarusystem – inte enbart ur ett tekniskt perspektiv, utan genom att studera människors beteenden i utvecklingsprocessen. Trots att det finns tekniska lösningar för säker kodning, visar tidigare forskning att mänskliga faktorer ofta är avgörande för om säkerhetsrutiner verkligen efterlevs i praktiken. En välkänd teori inom socialpsykologin är Theory of Planned Behavior (TPB), som har använts inom en mängd områden för att förklara varför människor agerar på ett visst sätt. Enligt TPB styrs en individs beteende av tre huvudkomponenter: * Attityder – individens inställning till ett visst beteende (t.ex. "säker kodning är viktigt och meningsfullt"), * Subjektiva normer – individens uppfattning om vad andra i den sociala gruppen förväntar sig (t.ex. "mitt team förväntar sig att jag skriver säker kod"), samt * Upplevd beteendekontroll – hur mycket individen tror sig kunna påverka och utföra beteendet i praktiken (t.ex. "jag vet hur man skriver säker kod, och jag har rätt verktyg för det"). Vi vill använda TPB som teoretisk ram för att undersöka säkerhetsrelaterade beteenden inom agil mjukvaruutveckling. Projektet syftar till att: * Identifiera vilka sociala normer som behöver finnas i team för att säkerhetsbeteenden ska uppstå och vidmakthållas, inklusive faktorer som gruppmognad, psykologisk trygghet och ledarskapsstil. * Utforska vad som stärker utvecklares upplevda kontroll över att kunna bidra till säkrare system – exempelvis genom utbildning, verktygsstöd, processer och feedback-loopar. * Förstå attityder gentemot säkerhet – vilka uppfattningar hos utvecklare eller team påverkar om säkerhet ses som något centralt, störande, tidskrävande eller värdeskapande. Målet är att utveckla både en teoretisk förståelse och praktiska mätverktyg som gör det möjligt att bedöma hur väl team är rustade för att faktiskt uppnå säkerhet i mjukvarusystem – inte bara genom policy, utan genom konkret beteende i vardagen.Summary: In this project, we aim to explore how social-psychological factors influence the security of software systems—not solely from a technical perspective, but by studying human behaviors within the development process. While technical solutions for secure coding exist, previous research shows that human factors are often critical in determining whether security practices are actually followed in real-world settings. A well-known and extensively studied theory in social psychology is the Theory of Planned Behavior (TPB), which has been applied in various domains to explain why people behave the way they do. According to TPB, an individual’s behavior is primarily driven by three components: * Attitudes – the individual's evaluation of the behavior (e.g., “secure coding is important and meaningful”), * Subjective norms – the perceived social pressure to perform the behavior (e.g., “my team expects me to write secure code”), and * Perceived behavioral control – the extent to which the individual believes they are capable of performing the behavior (e.g., “I know how to write secure code, and I have the tools to do it”). We intend to use TPB as a theoretical framework to investigate security-related behaviors within agile software development. The project aims to: * Identify the social norms that must emerge within teams to foster and maintain security-conscious behavior, including factors such as team maturity, psychological safety, and leadership style. * Explore what strengthens developers’ perceived behavioral control in contributing to secure systems—for example through training, tool support, processes, and feedback loops. * Understand attitudes toward security—what beliefs among developers or teams make it more likely that security is seen as central, disruptive, time-consuming, or value-adding. The goal is to develop both a theoretical understanding and practical measurement tools that can assess how well-equipped teams are to actually achieve secure software—not merely through policy or guidelines, but through consistent behavior in day-to-day work.
Item type: