The number of vulnerabilities discovered in software has been growing fast the last few years. At the same time the Agile method has quickly become one of the most popular methods for software development. However, it contains no mention of security, and since security is not traditionally agile it is hard to develop secure software using the Agile method. To make software secure, security testing must be included in the development process. The aim of this thesis is to investigate how and where security can be integrated in the Agile development process when developing web applications. In the thesis some possible approaches for this are presented, one of which is to use a web application security scanner. The crawling and detection abilities of four scanners are compared, on scanner evaluation applications and on applications made by Nordnet.An example implementation of one of those scanners is made in the testing phase of the development process. Finally, a guide is created that explains how to use the implementation. I reach the conclusion that it is possible to integrate security in the Agile development process by using a web application security scanner during testing. This approach requires a minimal effort to set up, is highly automated and it makes the Agile development process secure and more effective. / Antalet upptäckta sårbarheter i mjukvara har ökat fort under de senaste åren. Den agila metoden har samtidigt blivit en av de mest populära metoderna för mjukvaruutveckling. Den berör dock inte säkerhet, och eftersom säkerhet, traditionellt sett, inte är agilt så blir det svårt att utveckla säker mjukvara med den agila metoden. För att kunna göra mjukvaran säker så måste säkerhetstestning infogas i utvecklingsfasen. Syftet med det här arbetet är att undersöka hur och var säkerhet kan integreras i den agila utvecklingsprocessen vid utveckling av webbapplikationer. Några sätt att göra detta på beskrivs i arbetet, varav ett är att använda ett verktyg för säkerhetstestning. En jämförelse av hur bra fyra sådana verktyg är på att genomsöka och hitta sårbarheter utförs på applikationer designade för att utvärdera verktyg för säkerhetstestning, samt hos Nordnets egna applikationer. Sedan beskrivs en exempelimplementation av ett av dessa verktyg i testfasen av utvecklingsprocessen. Slutligen, tas en guide fram som beskriver hur implementationen kan användas. Jag kommer fram till att det är möjligt att inkludera säkerhet i den agila utvecklingsprocessen genom att använda ett verktyg för säkerhetstestning i testfasen av utvecklingsprocessen. Detta tillvägagångssätt innebär en minimal ansträngning att införa, är automatiserat i hög grad och det gör den agila utvecklingsprocessen säker och mer effektiv.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-170834 |
| Date | January 2015 |
| Creators | Broström, Andreas |
| Publisher | KTH, Skolan för datavetenskap och kommunikation (CSC) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | Swedish |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0017 seconds