I en verden med økende cyberangrep, må QA-ansvarlige ha et sterkt fokus på sikkerhet. Derfor har vi startet et kompetansehevingsprogram for kvalitetsansvarlige hos oss.
Å være kvalitetsansvarlig (QA) i et software-utviklingsteam kan være en utfordrende rolle. I tillegg til å sikre at ny funksjonalitet gir ønsket verdi for sluttbrukerne, skal en ha fokus på at teamet jobber effektivt og smart samt sørge for at testautomatisering kommer på plass. I en verden med økende cyberangrep, må QA-ansvarlige I tillegg ha et sterkt fokus på sikkerhet.
Om forfatteren av innlegget
Linda Solberg Brattli er enhetsleder for kvalitetssikringsmiljøet vårt i Rogaland. Hun har tidligere innhatt roller som testleder/QA, business analyst og aktivitetsleder i flere av våre leveranser.
![Portrettbilde av Linda Aolberg Brattli](/bouvet-deler/sikkerhet+qa=suksessoppskrift/_/image/827efbe4-0480-4ef7-a3e3-c84e041c11be:8c52e68ab5e53f9e90113938b7c1e93beffa9e03/width-768/large-1247.png)
Hvorfor må QA være oppdatert på sikkerhet?
En mer usikker verden medfører at vi i økende grad må implementere risikoreduserene tiltak.
Sikkerhet er alles ansvar og alle teammedlemmene må føle eierskap til å skape sikre applikasjoner, og alle roller i et autonomt software-utviklingsteam har et unikt perspektiv gjennom applikasjonens levetid.
Det er viktig å lære om hvilke sårbarheter som finnes og kan utnyttes. På den måten kan alle teammedlemmene bruke denne informasjonen i sin respektive rolle og bidra til å sette sikkerhet i fokus.
Ved å kontinuerlig læring og kompetanseheving, både teoretisk og praktisk, ønsker vi å forbedre kunnskapen om svakheter og sårbarheter. Dette vil gjøre QA-ansvarlige i stand til å ivareta produktets sikkerhet bedre. Sammen med ekspertisen de allerede besitter, vil QA-ansvarlige ikke bare være i stand til å kvalitetssikre at løsningen fungerer som forventet, men også teste om løsningen er sårbar.
Derfor arrangerte vi nylig en workshop for våre kvalitetsansvarlige i Rogaland, hvor temaet var OWASP, som fokuserer på å forbedre sikkerheten til programvareapplikasjoner.
Heldagsworkshop for 25 QAs i OWASP
Even Tilleri, en av våre interne security champions, fasiliterte 18. april en heldags workshop for 25 kvalitetsbevisste konsulenter. Ifølge Even står QA i en unik posisjon til å sørge for at sikkerhetskvaliteten som forventes blir opprettholdt.
![owasp 1.jpg](/bouvet-deler/sikkerhet+qa=suksessoppskrift/_/image/0083c6f2-9de5-494e-a059-4d278039eb29:9f61947cb88de707618c3fd3c89f3e6b21b984db/width-768/owasp%201.jpg)
Ved en økt bevisstgjøring rundt sikkerhet i alle ledd, er en med på å skape et modent sikkerhetsmiljø der alle hjelper hverandre til å skape gode løsninger.
Even TilleriI workshopen ble OWASP top 10-listen brukt som utgangspunkt. En etter en ble sårbarhetene på OWASP sin liste gjennomgått. Deltakerne ble deretter utfordret til å løse relaterte oppgaver på Juice Shop - også kjent som verdens mest usikre nettside.
![owasp3.jpg](/bouvet-deler/sikkerhet+qa=suksessoppskrift/_/image/046b3035-e5d1-4092-bbc1-8dad40573fa2:a463c0d6885371bd3e1eb766fc736aaa7b28ce72/width-768/owasp3.jpg)
Deltakerne jobbet sammen i mindre grupper for å identifisere og utnytte feil og mangler på nettsiden. Underveis i workshopen fikk de konkrete tips om hva de skulle se etter og hvordan de kunne teste for å avdekke sårbarheter. De fikk også innspill til hvilke spørsmål de kunne stille teamet for å forsikre seg om at sikkerhetskravene ble ivaretatt, samt linker til nyttig lesestoff.
![Bilder av fire smilende bouvet-kolleger som har kvalitetsansvar, bildene er tatt på workshopen i OWASP](/bouvet-deler/sikkerhet+qa=suksessoppskrift/_/image/9b2ee8ad-1c2c-4a4e-a907-23843b5f5bf7:994ade09280675d5144cf2bded3028cab2c35a43/width-768/collage-qa.png)
Workshopen ble en inspirerende dag, og deltakerne var motiverte og tok med seg mange gode ideer tilbake til teamene sine.
Dette sier to QA-ene våre om workshopen:
Vil lære mer om penetrasjonstesting
En av deltakerne i workshopen var Cveta Krasteva, som er en erfaren QA. Hun forteller at hun fikk godt utbytte av workshopen og satte pris på å bli utfordret. Det ble en morsom og annerledes dag på jobben, sier hun. Fremover ønsker hun å lære enda mer om sikkerhetstesting, og da spesielt penetrasjonstesting.
– Det er viktig for QA å lære mer om sikkerhet, slik at vi kan snakke samme språk som utviklerne rundt dette, sier hun før hun dypdykker ned i neste utfordring som Even har planlagt for gjengen.
![owasp13.jpg](/bouvet-deler/sikkerhet+qa=suksessoppskrift/_/image/c9fd62c7-7bfe-43c4-a343-846dce58beea:d0a772df57b94dfdf9bf0f93a3adc35cf64e7afa/width-768/owasp13.jpg)
QA er i en god posisjon til å utfordre
René Reinertsen er QA og Security Champion og har deltatt på workshop i OWASP Top 10 tidligere. Han har jobbet sammen med Even for å tilpasse workshopen til QA-rollen, for å sikre at utbyttet blir best mulig. Når vi spør han hvorfor han har engasjert seg i sikkerhetssatsningen vår, sier han at han synes sikkerhet er både viktig og interessant.
– Det er naturlig at sikkerhet inngår i kvalitetssikringen av en løsning og det er ingen tvil om at QA er i en god posisjon til å stille spørsmål og utfordre rundt de sikkerhetstiltak som gjøres i software-utviklingen. Sikkerhet er en viktig del av arbeidskulturen vår, forteller han.
![owasp14.jpg](/bouvet-deler/sikkerhet+qa=suksessoppskrift/_/image/395632bf-ec32-4b4e-8b8e-7fe1bf4d83f9:32327f4ba965239650e25089706ece3020a103d3/width-768/owasp14.jpg)