Sikkerhetstest av "Sikker Varsling"

Abstract

Sikkerhet blir stadig mer aktuelt innen programvareutvikling. En av hovedgrunnene til dette er at organisasjoner har blitt mer bevisst på hvilke økonomiske konsekvenser sikkerhetsfeil kan medføre. Økningen i rapporterte sårbarheter har også satt fokus på programvaresikkerhet. Den beste fremgangsmåten for å unngå sårbarheter i programvare er å tenke sikkerhet så tidlig som mulig i utviklingsprosessen. Det finnes flere teknikker og metoder som kan inkluderes i forskjellige faser av utviklingsprosessen, og de mest sentrale er beskrevet i denne rapporten. Økt fokus på programvaresikkerhet har også ført til økt fokus så sikkerhetstesting. Dette prosjektet har gjennomført en sikkerhetstest av websystemet Sikker Varsling . Sikker Varsling er en varslingstjeneste for ansatte i en organisasjon, hvor de kan varsle anonymt om forhold på arbeidsplassen. Systemet skal med andre ord behandle sensitiv informasjon, og det er dermed svært viktig at det ikke inneholder sikkerhetsfeil som kan avsløre denne informasjonen. Testingen har fulgt en risikobasert fremgangsmåte. Dette innebærer at risikoer rundt Sikker Varsling har blitt identifisert og rangert, for deretter å teste de mest kritiske risikoene. Testingen har tatt i bruk forskjellige testverktøy som også har blitt vurdert i dette prosjektet. Resultatene fra testingen har avdekket en del sikkerhetsfeil, hvor enkelte har blitt vurdert som kritiske for systemet. Resultatene har også lagt grunnlaget for en testprosedyre som prosjektet mener kan brukes i fremtidig sikkerhetstesting av lignende websystemer.