Hur får man in applikationssäkerhet i den agila processen?
Att säkerhet är viktigt håller nog alla med om, men hur vet man att ens applikation är tillräckligt säker? Och hur vet man vad som är “tillräckligt” säkert?
Ett första steg till en säkrare produkt är att höja medvetandet om säkerhet i utvecklingsteamet. Utvecklarna ska veta vilka hot som finns och vilka sårbarheter man bör undvika när man utvecklar.
Som expert inom agil säkerhet på Crisp, brukar Gustav Boström börja med att hålla en ”skräckföreläsning” inom applikationssäkerhet där han visar exempel på hur andra applikationer har blivit hackade. Efter en ofta skrämmande start brukar intresset vara stort för att ta reda på om den egna applikationen är säker och göra en djupare analys. För att ta reda på vilka hot som kan finnas gör man då en gemensam ”hotmodelleringsworkshop” där man tar reda på hur arkitekturen och hotbilden kan se ut.
Iterativt säkerhetsarbete
När man använder en iterativ utvecklingsprocess med löpande driftsättningar av mjukvara behöver självklart även säkerhetsarbetet ske löpande. Gustav brukar därför ge tips på och visa olika verktyg för att utvecklarna själva ska kunna testa sina applikationer löpande utan att tynga ner utvecklingsarbetet onödigt mycket. För att det inte ska bli en engångsföreteelse behöver man även väva in säkerhetstänkandet i arbetsprocessen.
Slutmålet är att bygga produkter säkert från början och ha med det naturligt i den agila processen för att slippa släcka bränder i produktion.
Gustav Boström hjälper er gärna att göra en säkerhetsgenomlysning av er process och produkt samt att utbilda utvecklare och team till att arbeta med säkerhet löpande.