I en verden med økende cyberangrep, må QA-ansvarlige ha et sterkt fokus på sikkerhet. Derfor har vi startet et kompetansehevingsprogram for kvalitetsansvarlige hos oss.
Å være kvalitetsansvarlig (QA) i et software-utviklingsteam kan være en utfordrende rolle. I tillegg til å sikre at ny funksjonalitet gir ønsket verdi for sluttbrukerne, skal en ha fokus på at teamet jobber effektivt og smart samt sørge for at testautomatisering kommer på plass. I en verden med økende cyberangrep, må QA-ansvarlige I tillegg ha et sterkt fokus på sikkerhet.
Om forfatteren av innlegget
Linda Solberg Brattli er enhetsleder for kvalitetssikringsmiljøet vårt i Rogaland. Hun har tidligere innhatt roller som testleder/QA, business analyst og aktivitetsleder i flere av våre leveranser.
Hvorfor må QA være oppdatert på sikkerhet?
En mer usikker verden medfører at vi i økende grad må implementere risikoreduserene tiltak.
Sikkerhet er alles ansvar og alle teammedlemmene må føle eierskap til å skape sikre applikasjoner, og alle roller i et autonomt software-utviklingsteam har et unikt perspektiv gjennom applikasjonens levetid.
Det er viktig å lære om hvilke sårbarheter som finnes og kan utnyttes. På den måten kan alle teammedlemmene bruke denne informasjonen i sin respektive rolle og bidra til å sette sikkerhet i fokus.
Ved å kontinuerlig læring og kompetanseheving, både teoretisk og praktisk, ønsker vi å forbedre kunnskapen om svakheter og sårbarheter. Dette vil gjøre QA-ansvarlige i stand til å ivareta produktets sikkerhet bedre. Sammen med ekspertisen de allerede besitter, vil QA-ansvarlige ikke bare være i stand til å kvalitetssikre at løsningen fungerer som forventet, men også teste om løsningen er sårbar.
Derfor arrangerte vi nylig en workshop for våre kvalitetsansvarlige i Rogaland, hvor temaet var OWASP, som fokuserer på å forbedre sikkerheten til programvareapplikasjoner.
Heldagsworkshop for 25 QAs i OWASP
Even Tilleri, en av våre interne security champions, fasiliterte 18. april en heldags workshop for 25 kvalitetsbevisste konsulenter. Ifølge Even står QA i en unik posisjon til å sørge for at sikkerhetskvaliteten som forventes blir opprettholdt.
Ved en økt bevisstgjøring rundt sikkerhet i alle ledd, er en med på å skape et modent sikkerhetsmiljø der alle hjelper hverandre til å skape gode løsninger.
Even TilleriI workshopen ble OWASP top 10-listen brukt som utgangspunkt. En etter en ble sårbarhetene på OWASP sin liste gjennomgått. Deltakerne ble deretter utfordret til å løse relaterte oppgaver på Juice Shop - også kjent som verdens mest usikre nettside.
Deltakerne jobbet sammen i mindre grupper for å identifisere og utnytte feil og mangler på nettsiden. Underveis i workshopen fikk de konkrete tips om hva de skulle se etter og hvordan de kunne teste for å avdekke sårbarheter. De fikk også innspill til hvilke spørsmål de kunne stille teamet for å forsikre seg om at sikkerhetskravene ble ivaretatt, samt linker til nyttig lesestoff.
Workshopen ble en inspirerende dag, og deltakerne var motiverte og tok med seg mange gode ideer tilbake til teamene sine.
Dette sier to QA-ene våre om workshopen:
Vil lære mer om penetrasjonstesting
En av deltakerne i workshopen var Cveta Krasteva, som er en erfaren QA. Hun forteller at hun fikk godt utbytte av workshopen og satte pris på å bli utfordret. Det ble en morsom og annerledes dag på jobben, sier hun. Fremover ønsker hun å lære enda mer om sikkerhetstesting, og da spesielt penetrasjonstesting.
– Det er viktig for QA å lære mer om sikkerhet, slik at vi kan snakke samme språk som utviklerne rundt dette, sier hun før hun dypdykker ned i neste utfordring som Even har planlagt for gjengen.
QA er i en god posisjon til å utfordre
René Reinertsen er QA og Security Champion og har deltatt på workshop i OWASP Top 10 tidligere. Han har jobbet sammen med Even for å tilpasse workshopen til QA-rollen, for å sikre at utbyttet blir best mulig. Når vi spør han hvorfor han har engasjert seg i sikkerhetssatsningen vår, sier han at han synes sikkerhet er både viktig og interessant.
– Det er naturlig at sikkerhet inngår i kvalitetssikringen av en løsning og det er ingen tvil om at QA er i en god posisjon til å stille spørsmål og utfordre rundt de sikkerhetstiltak som gjøres i software-utviklingen. Sikkerhet er en viktig del av arbeidskulturen vår, forteller han.
