Digia Secure SDLC : Implementation of Agile SDLC with Security and Privacy

Abstract

Due to ISO 9001 standard revision, Digia implemented a major rewrite of its Core Process Model (CPM) during 2017 - 2018. As part of the program, Digia agile SDLC (Security & Privacy Development Life Cycle) was created. The target was to enhance the agile software development process model so that it is adequate for authoring software with high security and privacy needs. As a result, the process produces products or services with acceptable and significantly lower risk levels in regard to security and privacy. The main objective was to create the adaptation of security and privacy features to agile development forming the Digia agile SDLC as part of CPM. Other objectives were to evaluate the implementation against the latest development in the field of secure agile development, to raise development ideas and a synthesis based on findings as well as define and publish the new process publicly to other interested parties (as Digia Open Secure Agile SDLC). The actual process development methodology was based on small workshops where the key principles the author wanted to include in the Digia agile SDLC were fitted to Scrum model. Later a literature review and analysis with the synthesis was done. The main result was and is a live process that is currently being trained in large scale in Digia. Based on the analysis, building a secure Scrum has been an even more discussed topic in the academic world than what was thought. Still, there is no common standard adopted. The Digia approach is based on simplicity and keeping the agile Scrum principles mostly intact. As a conclusion, the literature review would most likely have impacted the end results. This methodology produced original ideas that are similar to the approaches that others.

ISO 9001 -standardin päivityksestä johtuen Digia toteutti vuosien 2017 - 2018 aikana merkittävän päivityksen sen ydinprosessimalliin (Core Process Model, CPM). Osana tätä kokonaisuutta luotiin Digia agile SDLC (Digia Security & Privacy Development Life Cycle). Tavoitteena oli parantaa ketterää ohjelmistokehitysprosessia siten, että sen avulla saataisiin tuotettua ohjelmistoja, joilla on korkeat tietoturva ja -suojavaatimukset. Lopputuloksena prosessi tuottaa tuotteita tai palveluita, joissa on hyväksyttävissä oleva ja merkittävästi alempi riskitaso. Päätavoite oli luoda sovitus tietoturva- ja suojapiirteistä ketterään kehitysmalliin Digia agile SDLC:hen osana CPM:ää. Muut tavoitteet olivat verrata kehitettävän mallin toteutusta muihin turvallisen ketterän kehityksen menetelmiin viime ajoilta, löytää jatkokehitysajatuksia ja tehdä synteesiä arviointiin pohjautuen sekä määrittää ja julkaista työn tulokset myös muille kiinnostuneille. Varsinainen prosessikehitysmenetelmä perustui työpajoihin, joissa Digia agile SDCL:ään halutut keskeisimmät piirteet sovitettiin Scrum-malliin. Tämän jälkeen tehtiin kirjallisuuskatsaus ja -analyysi sisältäen synteesin. Lopputuloksena oli ja on elävä prosessi, jota koulutetaan laajasti Digialla. Analyysistä kävi ilmi, että turvallinen Scrum on ollut laajemmalti keskusteltu aihe akateemisessa maailmassa, kuin oletettiin. Tästä huolimatta aiheesta ei ole yhteisesti hyväksyttyä standardia käytössä. Digian lähestymistapa perustui yksinkertaisuuteen ja Scrumin periaatteiden eheänä säilyttämiseen. Loppuhavaintona oli, että kirjallisuuskatsaus olisi todennäköisesti vaikuttanut lopputulokseen. Menetelmä tuotti kuitenkin uusia ideoita, jotka ovat samoilla linjoilla muiden kehittelemien kanssa.