Agil utveckling ställer andra krav på säkerhetsarbetet


I det senaste avsnittet av Säkerhetssnack borrar Olle Segerdahl och Christoffer Jerkeby ner sig i agil mjukvaruutveckling och – självklart – hur arbetssättet ställer helt nya krav på säkerhetstänket i organisationen.

Cybersäkerhet, Nyheter, Senaste nytt, Tips & Råd // 28.04.2017

Agil utveckling har varit på tapeten i flera år nu, och till skillnad från många andra buzzwords så pratas det fortfarande om agil mjukvaruutveckling och metoden får fortfarande flera nya följare. Något förenklat så bygger metoden på en central grundinsikt: att det inte är realistiskt att tro att man ska kunna göra en komplett kravspec för ett projekt och tro att man kommer att fånga in allt som ska med innan man ens påbörjat det faktiska arbetet. Det kommer helt enkelt att förändras under resans gång. Och då är det lika bra att arbeta utefter en metod som gör det så enkelt som möjligt att anpassa sig på vägen.

Det handlar om att bygga i fristående moduler som kan interagera med varandra. Det handlar om många inkrementella släpp snarare än få stora släpp. Och samtidigt måste man säkerställa att alla moduler alltid kan interagera med varandra.

Säkerhetssnack: Nytt avsnitt varannan vecka. Ett tema varje gång. Säkerhetsexperterna Olle Segerdahl och Christoffer Jerkeby.

Den stora utmaningen är att säkerställa att säkerhetsarbetet inte faller mellan stolarna. Här lyfter Olle och Christoffer fram flera saker som behöver finnas på plats för att säkerställa att det inte händer – till exempel att se till att säkerhet är en parameter i det kontinuerliga testningsarbetet, både i det automatiserade och det som görs manuellt.

Dessutom bör man testa både på modulnivå och i ett helhetsperspektiv – och samtidigt inte glömma bort det faktum att användare inte alltid agerar logiskt. På vilka sätt kan användarna tänkas göra fel när de använder mjukvaran? Hur påverkar dessa misstag säkerheten?

Målet är att undvika en situation när utvecklare och projektledare inte sitter med ont i magen, med en känsla i bakhuvudet att det finns någon säkerhetsgrej som inte är helt hundra.

Och om man ändå hamnar där – se till att medarbetarna känner sig trygga med att dela med sig av den känslan och att organisationen är öppen för att ta till sig av den. Detta kan vara nog så svårt i projekt som präglas av hårda deadlines.

Dessutom pratar Olle och Christoffer om Shadow Brokers och den senaste uppsättningen hackingverktyg som läckt ut. Hur är det egentligen? Har Microsoft släppt patchar för alla sårbarheter? Oavsett vilket så finns det en synnerligen viktig lärdom att dra av denna läcka – den femte i ordningen från gruppen.

Lyssna på avsnitt tre av Säkerhetssnack här, på Itunes eller där du vanligtvis får ditt poddbehov tillgodosett.

Och följ gärna @sakerhetssnack på Twitter!

[Foto: Yandle, Flickr.com, modifierad]

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s