torsdag 25 september 2008

Gustav om AspectSecurities syn på Agile Security

Äntligen stod säkerhetsexperten David Wichers vid talarstolen. Föredraget om Agile Security var en av huvudanledningarna till att jag valde att åka till OWASP NYC. Som så ofta på konferenser visade det sig att den mest intressanta informationen kom från personliga samtal med talarna snarare än att gå på föredraget. Eftersom Agile Security har varit mitt forskningsområde under en längre tid var det kanske inte så förvånande att det inte framkom så mycket nytt. Hursomhelst kan det vara intressant för övriga att höra vad AspectSecurity har att säga om området. Dave Wichers tryckte på följande områden:
  1. Testdriven utveckling främjar säkerhet
  2. Hotmodellering måste med i processen
  3. Utvecklingsteamet behöver hjälp i form av standardsäkerhetskomponenter ( T ex ESAPI) och kodstandarder
  4. Säkerhetssprintar
Testdriven utveckling
Inom detta område är Agile verkligen en främjare av säkerhet. Många fina testcase är ett utmärkt exempel på ”Assurance evidence” dvs data som visar på att koden verkligen implementerar kraven korrekt (Så länge testerna är korrekta så klart.). Jag skulle dock vilja tillägga att det är många saker som är svåra att testa. Källkodsanalys kan då vara ett komplement. Dave nämnde också att oberoende pen-testing ofta måste till.
Hotmodellering
Hotmodellering är centralt i allt säkerhetsarbete. Detta måste ju då vara med som en aktivitet i utvecklingsprocessen i en sprint eller iteration. Exakt hur detta ska gå till var dock ganska oklart tycker. Ett utmärkt område för framtida forskning således.
Standardsäkerhetskomponenter
Eftersom Agile-team alltid har så bråttom att leverera affärsnytta så måste det gå snabbt att implementera säkerhet. ESAPI borde då hjälpa till genom att ge illusionen att säkerhet inte kostar så mycket i utvecklingsarbetet. Jag tycker att standardkomponenter är jättebra, men jag är inte lika övertygad att de alltid leder till stora tidsvinster.
Säkerhetssprintar
Ibland kan det vara svårt för att få acceptans för att ha med säkerhetsrelaterade stories i varje sprint. Då kan det vara ett alternativ att med jämna mellanrum lägga in en säkerhetssprint. En i publiken påpekade dock att detta var att se som något av ett misslyckande eftersom man då inte har säkerhet i åtanke genom hela projektet.

Inga kommentarer: