Jo viidettä kertaa järjestetty Disobey – The Nordic Security Event avasi mielenkiintoisella tavalla tietoturvallisuuteen liittyviä asioita. Hyvin selväksi tuli se, ettei ohjelmistokehityskään ole immuuni esimerkiksi hakkeroinnille eikä muille tietoturvallisuuteen liittyville uhkakuville, joita tänä päivänä tulee jatkuvasti esiin. Ajan tasalla oleva tietoturva onkin erittäin tärkeä osa koko ohjelmistokehityksen elinkaarta.

Tuotantoon menevät bugit ovat erityinen riski, sillä jokainen bugi on mahdollinen tietoturva-aukko heille, jotka ovat erikoistuneita niiden havaitsemiseen. Tietoturvariskit pienenevät kuitenkin huomattavasti testaamiseen panostamalla. Kun bugit löydetään ohjelmistokehityksen alkuvaiheessa, se ei ainoastaan paranna yleistä laatua vaan tekee palvelusta tai tuotteesta myös tietoturvallisemman.

DevOps-kulttuurissa tietoturvatestaus sisällytetään osaksi Continuous Integrationiin liittyvää työtä. Hyviä käytäntöjä ovat Dependency Verification, koodianalyysityökalut sekä automaattisten tietoturvatestaustyökalujen integrointi.

Kun tietokone hotellihuoneesta hävisi…

Tapahtumassa kuultiin myös hiuksia nostettava tositarina hotellihuoneiden magneettikortteihin liittyen. Timo Hirvonen ja Tomi Tuominen kertoivat ystävänsä tietokoneen häviämisestä hotellihuoneesta, mikä tapahtui täysin jälkiä jättämättä.

Tarinan uskomattomuutta ja omakohtaisuutta korosti se, että Hirvonen ja Tuominen päättivät ratkaista mysteerin tutkimalla, kuinka magneettikorttien turvallisuus voidaan ohittaa. Aikaa tähän meni noin 14 vuotta, mutta he onnistuivat haasteessaan puhtaasti kärsivällisyydellään. Usein onkin niin, että tietoturva-aukkojen löytäminen vaatii aikaa tai resursseja tai molempia.

Kyseinen turva-aukko on sittemmin korjattu.

Mikko Jantunen, Senior DevOps Consultant