Sikkerhet + QA = suksessoppskrift

I en verden med økende cyberangrep, må QA-ansvarlige ha et sterkt fokus på sikkerhet. Derfor har vi startet et kompetansehevingsprogram for kvalitetsansvarlige hos oss.

Linda Solberg Brattli

Trykk på taggene for å lese mer om hvor og hvordan vi benytter samme fag og teknologi


Å være kvalitetsansvarlig (QA) i et software-utviklingsteam kan være en utfordrende rolle. I tillegg til å sikre at ny funksjonalitet gir ønsket verdi for sluttbrukerne, skal en ha fokus på at teamet jobber effektivt og smart samt sørge for at testautomatisering kommer på plass. I en verden med økende cyberangrep, må QA-ansvarlige I tillegg ha et sterkt fokus på sikkerhet.

 

Om forfatteren av innlegget

Linda Solberg Brattli er enhetsleder for kvalitetssikringsmiljøet vårt i Rogaland. Hun har tidligere innhatt roller som testleder/QA, business analyst og aktivitetsleder i flere av våre leveranser.

 
Portrettbilde av Linda Aolberg Brattli

 

 

Hvorfor må QA være oppdatert på sikkerhet? 

En mer usikker verden medfører at vi i økende grad må implementere risikoreduserene tiltak. 

Sikkerhet er alles ansvar og alle teammedlemmene må føle eierskap til å skape sikre applikasjoner, og alle roller i et autonomt software-utviklingsteam har et unikt perspektiv gjennom applikasjonens levetid. 

Det er viktig å lære om hvilke sårbarheter som finnes og kan utnyttes. På den måten kan alle teammedlemmene bruke denne informasjonen i sin respektive rolle og bidra til å sette sikkerhet i fokus. 

Ved å kontinuerlig læring og kompetanseheving, både teoretisk og praktisk, ønsker vi å forbedre kunnskapen om svakheter og sårbarheter. Dette vil gjøre QA-ansvarlige i stand til å ivareta produktets sikkerhet bedre. Sammen med ekspertisen de allerede besitter, vil QA-ansvarlige ikke bare være i stand til å kvalitetssikre at løsningen fungerer som forventet, men også teste om løsningen er sårbar. 

Derfor arrangerte vi nylig en workshop for våre kvalitetsansvarlige i Rogaland, hvor temaet var OWASP, som fokuserer på å forbedre sikkerheten til programvareapplikasjoner.

Heldagsworkshop for 25 QAs i OWASP

Even Tilleri, en av våre interne security champions, fasiliterte 18. april en heldags workshop for 25 kvalitetsbevisste konsulenter. Ifølge Even står QA i en unik posisjon til å sørge for at sikkerhetskvaliteten som forventes blir opprettholdt.

owasp 1.jpg
Bilde av Even tatt på workshopen

 

Ved en økt bevisstgjøring rundt sikkerhet i alle ledd, er en med på å skape et modent sikkerhetsmiljø der alle hjelper hverandre til å skape gode løsninger.

Even Tilleri

I workshopen ble OWASP top 10-listen brukt som utgangspunkt. En etter en ble sårbarhetene på OWASP sin liste gjennomgått. Deltakerne ble deretter utfordret til å løse relaterte oppgaver på Juice Shop - også kjent som verdens mest usikre nettside.

 

owasp3.jpg
Bilde fra workshopen 

 

Deltakerne jobbet sammen i mindre grupper for å identifisere og utnytte feil og mangler på nettsiden. Underveis i workshopen fikk de konkrete tips om hva de skulle se etter og hvordan de kunne teste for å avdekke sårbarheter. De fikk også innspill til hvilke spørsmål de kunne stille teamet for å forsikre seg om at sikkerhetskravene ble ivaretatt, samt linker til nyttig lesestoff.

 

Bilder av fire smilende bouvet-kolleger som har kvalitetsansvar, bildene er tatt på workshopen i OWASP
Bilder av noen av våre kvalitetsansvarlige tatt på workshopen i OWASP

 

Workshopen ble en inspirerende dag, og deltakerne var motiverte og tok med seg mange gode ideer tilbake til teamene sine.

Dette sier to QA-ene våre om workshopen: 

 

Vil lære mer om penetrasjonstesting

En av deltakerne i workshopen var  Cveta Krasteva, som er en erfaren QA. Hun forteller at hun fikk godt utbytte av workshopen og satte pris på å bli utfordret. Det ble en morsom og annerledes dag på jobben, sier hun. Fremover ønsker hun å lære enda mer om sikkerhetstesting, og da spesielt penetrasjonstesting.

– Det er viktig for QA å lære mer om sikkerhet, slik at vi kan snakke samme språk som utviklerne rundt dette, sier hun før hun dypdykker ned i neste utfordring som Even har planlagt for gjengen.
 

owasp13.jpg

 

QA er i en god posisjon til å utfordre 

René Reinertsen er QA og Security Champion og har deltatt på workshop i OWASP Top 10 tidligere. Han har jobbet sammen med Even for å tilpasse workshopen til QA-rollen, for å sikre at utbyttet blir best mulig.  Når vi spør han hvorfor han har engasjert seg i sikkerhetssatsningen vår, sier han at han synes sikkerhet er både viktig og interessant.

– Det er naturlig at sikkerhet inngår i kvalitetssikringen av en løsning og det er ingen tvil om at QA er i en god posisjon til å stille spørsmål og utfordre rundt de sikkerhetstiltak som gjøres i software-utviklingen. Sikkerhet er en viktig del av arbeidskulturen vår, forteller han.

owasp14.jpg