Svar: Agil systemutveckling ställer större krav på utvecklarna – krav på faktiska kunskaper och erfarenheter samt viljan att dela med sig av sina kunskaper till resten av gruppen.

En annan aspekt av agil systemutveckling är att den lämpar sig bättre i långa projekt. Anledningen till det är gruppdynamiken, det vill säga människors sätt att fungera i nya grupper. Gruppdynamiken tar mycket tid från projektarbetet i början. Men den kompenseras ju längre projektet fortgår och blir en kraftfull resurs i etablerade grupper där deltagarna känner varandras styrkor och svagheter.

Säkerhet i system- och programutveckling är ett stort problem i dag, oavsett metodik och utvecklingsmodell. Det beror på att det inte tidigare funnits någon utbildning i säker programmering på universitetsnivå. De första utbildningarna inom området kom så sent som vid millennieskiftet.

Det är mycket stor skillnad på en utbildning i programmering och en utbildning i säker programmering. Det innebär att samtliga systemutvecklare och programmerare som fått sin utbildning före 2000 inte har någon utbildning i säker programmering. Det innebär att den absoluta majoriteten av alla programmerare saknar den här kunskapen.

Man brukar säga att 50 procent av de brister som utnyttjas vid dataintrång och missbruk av dataresurser beror på bristfällig programutveckling – det vill säga programmeringen. Resterande 50 procent beror på felaktig konfiguration av operativsystem och it-system.

Om utvecklarna haft kunskaper i säker programmering och sett till att ha en korrekt indatahantering i sina program, skulle attackmetoder som sql-injection, cross site scripting samt buffer overflow inte vara ett så stort problem i dag som det är.

Utbildning i säker programmering finns i dag på flera universitet i Sverige. Ett av de främsta universiteten med mycket utbildning inom säkerhet är Blekinge tekniska högskola som blev universitet för ett antal år sedan.


Tomas Djurling är konsult inom it- och informationssäkerhet.