Vitenskaplig sikkerhet i smidig utvikling

agileVi har nettopp fått finansiert et nytt forskningsprosjekt av Norges Forskningsråd – prosjektet SoS-Agile skal utforske hvordan man kan ivareta informasjonssikkerhet under smidig utvikling.

For å hevde seg i programvareutviklingsbransjen i dag kreves det hurtige leveranser fra utviklergruppen. For å oppnå dette har virksomheter transformert utviklingsprosessene sine fra tradisjonell vannfallsmetodikk til smidige utviklingsmetoder. Smidig utvikling har en enorm påvirkning på hvordan programvare utvikles ute i verden, og Norge er langt framme i forskning på dette feltet; så godt som alle virksomheter som utvikler programvare i Norge bruker smidige metoder.

Målet med smidige metoder er å samarbeide med kundene for å utforske deres krav, og levere et ferdig programvareprodukt på en inkrementell måte slik at det stadig gjøres små endringer. Man skulle kanskje anta at muligheten til å hurtig (i løpet av noen få smidige iterasjoner) adressere nye sikkerhetsfeil skulle representere en fordel for smidige metoder over tradisjonelle utviklingsmetoder. Imidlertid fokuserer smidige prosjekter ofte på umiddelbare forretningsmekanismer og funksjonalitet snarere enn sikkerhetskrav. En vanlig misforståelse later til å være at sikkerhet forsinker utviklingsprosessen. Det er ingen programvaresikkerhetspraksiser som er utviklet spesifikt for smidige prosesser.

Sikkerhetsforskning er et godt stykke unna å etablere sikkerhet som en vitenskap tilsvarende  tradisjonelle disipliner som fysikk og matematikk, og er også dårligere stilt enn andre områder innen programvareutviklingsforskning. Sikkerhetsfeltet lider under manglende empirisk evaluering, et gap mellom industripraksis og akademisk forskning, og et enormt antall forskjellige metoder og metodevarianter hvor forskjellene er dårlig forstått og til dels kunstig oppblåst. Empiriske studier har et stort potensiale i sikkerhetsforskning. Ved å utføre empiriske studier i den virkelige verden kan forskningsresultater raskere introduseres og valideres i praksis.

Det overordnede forskningsspørsmålet som prosjektet SoS-Agile skal adressere er derfor den generelle mangelen på vitenskapelig tilnærming til sikkerhetsforskning, og integrering av programvaresikkerhet og smidig programvareutvikling.

Vi skal utføre case-studier i nært samarbeid med tre partnere som SINTEF har arbeidet med i lang tid i tidligere prosjekter: Telenor, Fara og Lånekassen. Vi vil også ha et tett samarbeid med våre internasjonale partnere i USA ( Prof. Dr. Laurie Williams, NCSU), Tyskland (Prof Dr. Michael Waidner, Fraunhofer) og Østerrike (Dr. Edgar R. Weippl, SBA Research). Prosjektet har en varighet på fem år.

For mer informasjon, se http://www.sintef.no/sos-agile

 

 Illustrasjon ved Dean Meyers CC-BY-2.0