View Project

Norwegian AI Directory

SoS-Agile: Science of Security in Agile Software Development


Description:

Sikkerhetsbrudd skjer over alt. Vi bruker datasystemer daglig, og er avhengige av disse på samme måte som vi er avhengige av tradisjonelle infrastrukturer som strøm og transport. Verdien av sensitiv informasjon i programvaresystemer er stadig økende, og truslene øker tilsvarende. Imidlertid blir ikke tiltak for å redusere den resulterende sårbarheten utviklet i samme tempo. Konsekvensene av denne mangelen på investering i programvaresikkerhet kan bli katastrofale. Kontinuerlig utvikling er en de facto standard for utvikling i Norge, og selv om sikkerhetsspørsmål ikke adresseres eksplisitt, er det et stort potensial for å bygge sikkerhet inn i en smidig og kontinuerlig tilnærming. Eksisterende sikkerhetsaktiviteter må bli redesignet og vitenskapelig forstått for å kunne integreres effektivt med smidige metoder. SoS-Agile har studert to fundamentale utfordringer: Behovet for en vitenskapelig tilnærming til sikkerhetsforskning, og integrasjon av programvaresikkerhet og kontinuerlig programvareutvikling. SoS-Agile baserte den vitenskapelige tilnærmingen på aksjonsforskning med tre programvareorganisasjoner: FARA, Telenor and Visma; og introduserte innovative måter å utføre sikkerhetsarbeid i smidige arbeidsgrupper, samtidig som vi evaluerte virkningen av de forskjellige tilnærmingene på gruppene. Også andre virksomheter har samarbeidet med prosjektet i større eller mindre grad som en del av case-studiene vi har gjennomført i prosjektet. Resultater fra prosjektet omfatter: 1) Videreutvikling av spillet som heter Protection Poker for å analysere hvordan ny funksjonalitet kan påvirke sikkerhet; 2) Mange virksomheter har nå utført selvevaluering av sine sikkerhetsaktiviteter basert på BSIMM; 3) Bedre forståelse av hvordan man kan opprette et programvaresikkerhetsprogram som fungerer for selvstyrte grupper; 4) Vi har utviklet en tilnærming til å innrullere utviklere i programvaresikkerhetsaktiviteter; 5) Økt bruk av statiske analyseverktøy i smidig utvikling hos de deltagende virksomhetene; 6) Introduksjon av trusselmodellering som en del av smidig utvikling hos de deltagende virksomhetene; 7) JiraSecPlugin, en brukervennlig "plugin"-komponent for å klassifisere registrerte problemer i Jira som sikkerhets-relaterte eller ikke; JiraSecPlugin bruker maskinlæringsalgoritmer for å utføre klassifiseringen; 8) "Security Intention Meetings" er en måte for selskapene å skape mer bevissthet om sikkerheten i prosjektene; 9) "Security Chartering" er en måte å styrke utviklingsteamene mot sikkerhet; 10) "Security Retrofitting" er en måte å omformulere sikkerhetsprogrammet for å passe behovene og effektiviteten som trengs i virksomheten; 11) Vi har lansert en styringsmodell for et ambidekstrisk sikkerhetsprogram i programvareorganisasjoner for bærekraftige programvaresikkerhetsinitiativ. SoS-Agile har bidratt til å styrke den vitenskapelige sikkerhetsforskningen i Norge, stimulere til nye tverrfaglige, innovative tilnærminger for å bedre sikkerheten i programvaresystemer, styrke konkurranseevnen i industrien, og fremme Norge som en banebrytende nasjon innen innovasjon og forskning på sikker programvareutvikling. De vitenskapelige artiklene fra dette prosjektet er basert på data som er samlet inn i norske virksomheter, og i tillegg har vi et intenst fokus på disseminering av de akademiske resultatene i de deltagende virksomhetene og andre virksomheter som vi samarbeider med i case-studier eller aksjonsforskning.


Project leader: Daniela Soares Cruzes

Started: 2015

Ends: 2021

Category: Teknisk-industrielle institutter

Sector: Instituttsektor

Budget: 25144921

Institution: SINTEF AS

Address: