I begynnelsen av juni arrangerte vi nok en gang “International Workshop on Secure Software Engineering in DevOps and Agile Development” (SecSE 2019), denne gang som en del av konferansen Cyber Security i Oxford.
Seansen ble innledet av et invitert foredrag fra Chrissy Morgan (bildet), som snakket om hvordan man kan lære den oppvoksende slekt om programvaresikkerhet. Hovedbudskapet her var mer praksis – vis de unge håpefulle hvordan det skal gjøres, og la dem så få prøve det i praksis.
Deretter ble det presentasjon av de fire fagfellevurderte artiklene som ble funnet verdige til å bli innlemmet i konferansepublikasjonen. Første bidrag ble presentert av Kalle Rindell, som siden mars har vært postdoc i SINTEF, men her representerte han sitt alma mater, Universitetet i Turku. Kalle har sett på konseptet “teknisk gjeld” relatert til risikostyring generelt og programvaresikkerhet spesielt. I eksisterende litteratur er “rentene” for teknisk gjeld antatt å være ekstraarbeidet man må gjøre for å “rydde opp i gammel moro”, men når man tar sikkerhet med i betraktning må man også kalkulere med risikoen for at en programvaresikkerhetsfeil kan utnyttes av en angriper, og denne vurderingen er ikke triviell. Den neste artikkelen ble presentert av Karin Bernsmed, som kunne dele noen innledende erfaringer vi har gjort med bruk av trusselmodellering i fire norske virksomheter. Vi har også publisert litt om dette temaet tidligere (se f.eks. her), og kommer til å jobbe videre med denne materien i løpet av høsten.
George Yee fra Carleton University i Ottawa presenterte så sin artikkel om identifisering av angrepsflate og mulig reduksjon av samme når man bruker Scrum. Metoden han presenterte hadde mange likhetstrekk med dataflytdiagrammer slik det f.eks. er implementert i Microsoft Threat Modeling Tool, og det ble en livlig diskusjon i salen rundt fordelene med spesialtilpasset notasjon kontra hensiktsmessighet med fritt tilgjengelige modelleringsapplikasjoner. Til slutt presenterte Huang “Frank” Huang en empirisk studie basert på intervjuer med norske utviklere for å lodde sikkerhetskultur og holdninger til sikkerhet i DevOps. Basert på diskusjonen etter foredraget, er konklusjonen at ingen av intervjuobjektene oppfatter at det de driver med til daglig kan kalles DevSecOps.
Etter kaffepausen kjørte vi så på med inviterte foredrag fra industrien. Først ut var Frank Aakvik fra Telenor Software Lab, som fortalte om deres tilnærming til programvaresikkerhet ved å bemyndige sikre, smidige arbeidsgrupper. Dette ble fulgt opp av en presaentasjon fra Marco Constantino fra Kongsberg Digital, som forklarte hvordan de har lagt opp arbeidet med sikkerhetsforkjempere (security champions). Dernest kom “jukse-nordmannen” Nick Murison fra Synopsys med et innblikk i hvordan de bistår andre utviklere med programvaresikkerhet. Helt til slutt tok vi med en presentasjon av Thomas F. Düllmann fra Universiät Stuttgart rundt sikkerhetsproblemstillinger med kontinuerlig integrering/utrulling i bilindustrien.
Oversikt over hele programmet finner du her: http://sislab.no/secse/program.html. Vi planlegger allerede neste års konferanse 15-17 juni – mye tyder på at det blir i Irland et sted, men det er ikke endelig avgjort enda – følg med på http://secse.org! Vi vil gjerne ha med flere norske virksomheter på talerlisten, så hvis du har noen programvaresikkerhetserfaringer å dele, er det bare å ta kontakt!