SoS-Agile: Science of Security in Agile Software Development

Sikkerhetsbrudd skjer over alt. Vi bruker datasystemer daglig, og er avhengige av disse på samme måte som vi er avhengige av tradisjonelle infrastrukturer som strøm og transport. Verdien av sensitiv informasjon i programvaresystemer er stadig økende, og truslene øker tilsvarende. Imidlertid blir ikke tiltak for å redusere den resulterende sårbarheten utviklet i samme tempo. Konsekvensene av denne mangelen på investering i programvaresikkerhet kan bli katastrofale. Kontinuerlig utvikling er en de facto standard for utvikling i Norge, og selv om sikkerhetsspørsmål ikke adresseres eksplisitt, er det et stort potensial for å bygge sikkerhet inn i en smidig og kontinuerlig tilnærming. Eksisterende sikkerhetsaktiviteter må bli redesignet og vitenskapelig forstått for å kunne integreres effektivt med smidige metoder. SoS-Agile har studert to fundamentale utfordringer: Behovet for en vitenskapelig tilnærming til sikkerhetsforskning, og integrasjon av programvaresikkerhet og kontinuerlig programvareutvikling. SoS-Agile baserte den vitenskapelige tilnærmingen på aksjonsforskning med tre programvareorganisasjoner: FARA, Telenor and Visma; og introduserte innovative måter å utføre sikkerhetsarbeid i smidige arbeidsgrupper, samtidig som vi evaluerte virkningen av de forskjellige tilnærmingene på gruppene. Også andre virksomheter har samarbeidet med prosjektet i større eller mindre grad som en del av case-studiene vi har gjennomført i prosjektet. Resultater fra prosjektet omfatter: 1) Videreutvikling av spillet som heter Protection Poker for å analysere hvordan ny funksjonalitet kan påvirke sikkerhet; 2) Mange virksomheter har nå utført selvevaluering av sine sikkerhetsaktiviteter basert på BSIMM; 3) Bedre forståelse av hvordan man kan opprette et programvaresikkerhetsprogram som fungerer for selvstyrte grupper; 4) Vi har utviklet en tilnærming til å innrullere utviklere i programvaresikkerhetsaktiviteter; 5) Økt bruk av statiske analyseverktøy i smidig utvikling hos de deltagende virksomhetene; 6) Introduksjon av trusselmodellering som en del av smidig utvikling hos de deltagende virksomhetene; 7) JiraSecPlugin, en brukervennlig "plugin"-komponent for å klassifisere registrerte problemer i Jira som sikkerhets-relaterte eller ikke; JiraSecPlugin bruker maskinlæringsalgoritmer for å utføre klassifiseringen; 8) "Security Intention Meetings" er en måte for selskapene å skape mer bevissthet om sikkerheten i prosjektene; 9) "Security Chartering" er en måte å styrke utviklingsteamene mot sikkerhet; 10) "Security Retrofitting" er en måte å omformulere sikkerhetsprogrammet for å passe behovene og effektiviteten som trengs i virksomheten; 11) Vi har lansert en styringsmodell for et ambidekstrisk sikkerhetsprogram i programvareorganisasjoner for bærekraftige programvaresikkerhetsinitiativ. SoS-Agile har bidratt til å styrke den vitenskapelige sikkerhetsforskningen i Norge, stimulere til nye tverrfaglige, innovative tilnærminger for å bedre sikkerheten i programvaresystemer, styrke konkurranseevnen i industrien, og fremme Norge som en banebrytende nasjon innen innovasjon og forskning på sikker programvareutvikling. De vitenskapelige artiklene fra dette prosjektet er basert på data som er samlet inn i norske virksomheter, og i tillegg har vi et intenst fokus på disseminering av de akademiske resultatene i de deltagende virksomhetene og andre virksomheter som vi samarbeider med i case-studier eller aksjonsforskning.

The contribution of this project to the science of security is beyond all the papers and presentations that we have produced. The companies maturity in security and the amount of knowledge created was beyond our expectations. There is still an increasing demand of the software companies for the knowledge we have created in this project, and also students from NTNU and UIO are reaching us for supervision constantly. So the educational aspects of the project were also fulfilled and will create even greater results on the years to come. The project have created an opportunity to educate more than 10 master students, 2 PhD students and 2 postdocs in software security in Agile. These are multiplications of this knowledge. In terms of publications we have many that are submitted and we are waiting for the answers.

Security breaches are happening all around us. Software systems have developed to the point that we use and depend upon them daily in the same way that we depend upon traditional infrastructures and utilities such as power and transportation. The value of sensitive information in software systems is constantly increasing as well as the corresponding threats, but measures to reduce the resulting vulnerability are not developed at the same pace. The consequences of this lack of investment in software security can be catastrophic. Scrum is now a de facto standard for development in Norway and even though it does not explicitly address security issues, there is a great potential for embedding security into an agile approach. The research in the area of software security is characterised by a huge number of methods (all based on a waterfall software development), a lack of credible empirical evaluation; and a split between industry practice and academic research. Existing security activities need to be redesigned and scientifically understood to integrate effectively with agile practices. SoS-Agile will investigate two fundamental challenges: the need for a scientific approach to security research, and the integration of software security and agile software development. Our aim is to empirically understand how software systems can be designed, built, and maintained to systematically address security issues across an agile development lifecycle. Hence, to advance software security practice through explicitly addressing software vulnerabilities with empirical approaches to gather data, analyse those data, and develop new theories for the Science of Security. SoS-Agile will enhance the scientific excellence of the research in Norway, stimulate new interdisciplinary innovative approaches to improve the security of software systems, and strengthen competitiveness in industry, promoting Norway as a cutting-edge research and innovation nation in secure software development.