Java-ontwikkelaars worstelen regelmatig met het gebruiken van security-API's voor het implementeren van hashfuncties of versleutelingslibrary's. Beveiligingsdeskundigen van Virginia Tech gingen op zoek naar wat de best practices zijn en waar het precies misgaat als ontwikkelaars op zoek gaan naar adviezen online. Ze richtten zich daarbij op crowdsourcesite StackOverflow.

Een van de kernproblemen, zo blijkt uit een onderzoek (PDF), is dat mensen niet zozeer kijken naar hoe ze het beveiligingsprobleem oplossen, maar hoe ze de bruikbaarheid vergroten. Een antwoord op een vraag die ervoor zorgt dat een foutmelding verdwijnt, maar het probleem aanwezig blijft, krijgt bijvoorbeeld meer stemmen dan een correct antwoord.

Het advies van de Viginia Tech-onderzoekers is dat makers van tools en library's meer zorg besteden aan vaak optredende foutmeldingen en ingebouwde adviezen voor programmeurs die ermee worstelen en dat ontwikkelaars het resultaat grondig testen om te zien of de feature ook daadwerkelijk doet wat het moet doen - ook als er geen foutmeldingen zijn.