Konsekvensanalys av implementeringen av IAST-verktyget Seeker i ett fintech-bolag
Holmberg, Iris (2026)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202601281892
https://urn.fi/URN:NBN:fi:amk-202601281892
Tiivistelmä
Denna avhandling undersöker konsekvenserna av att implementera ett IAST-verktyg (Interactive Application Security Testing), specifikt Seeker, i ett utvecklingsteam inom ett fintech-bolag. Avhandlingen syftar på att besvara 1.) Hur påverkas ett utvecklingsteam av införandet av ett IAST-verktyg? Och 2.) Hur hanteras ett IAST verktyg i praktiken samt analysera hur införandet påverkar teamets arbetsprocesser, ansvarsfördelning och
tidsanvändning och att identifiera faktorer som kan bidra till en smidigare implementation. Arbetet syftar även till att belysa för- och nackdelar med verktyget. Studien har genomförts som en kvalitativ intervjustudie där tre teammedlemmar intervjuats. Materialet har analyserats genom kodning för att identifiera återkommande teman. Dessa koder sammanställdes sedan till kategorier som blev fem i antal.
Resultaten visar att införandet av verktyget medför förändringar för teamet gällande rutiner, arbetssätt, arbetsmängd och ansvar. Eftersom teamet befinner sig tidigt i implementationsprocessen har större förändringar ännu inte skett, men onboarding av sina applikationer och hantering av utmaningar har genomförts. Verktyget har integrerats i teamets säkerhetsrutiner genom veckovisa triagemöten och månatliga säkerhetsgranskningar, vilket i sin tur har ökat teamets ansvar. IAST-verktyget möjliggör intern granskning av sårbarheter, vilket minskar beroendet av externa säkerhetsgranskningar och gör teamet mer självständigt. Initialt uppstod tekniska utmaningar såsom prestandaproblem, konfigurationssvårigheter och felklassificering, samt praktiska utmaningar kopplade till hantering av stora mängder upptäckter, prioriteringar och arbetssätt samt eventuellt ökad arbetsmängd i de fall redan existerande säkerhetsverktyg överlappar med IAST-verktyget. Bristande dokumentation och introduktion till verktyget försvårade implementationsprocessen, liksom avsaknaden av tydligt allokerad tid för implementation. Fördelar med verktyget inkluderar enkel implementering och hantering, ökad tillförlitlighet samt att teamet har möjlighet att åtgärda sårbarheter innan de dyker upp i produktion, vilket ökar produkternas kvalitet. En teammedlem tog initiativ till att skapa ett proof of concept
över verktyget och blev en nyckelperson i implementationsprocessen för bolaget. Framtida arbete inkluderar förbättrad rapportering, ökad testtäckning och hantering av verktygets upptäckter genom klassificering och exkludering av endpoints samt införandet av mognadsnivåer på implementationsprocessen för att tydliggöra implementationens status hos
de olika teamen. Begränsningar i studien utgörs av ett litet urval och varierande erfarenhetsnivåer hos informanterna, vilket påverkat intervjufrågornas relevans och svarens jämförbarhet samt att teamet befinner sig tidigt i implementationsprocessen. Trots detta ger studien insikter i hur ett IAST-verktyg påverkar ett utvecklingsteam och vilka faktorer som bör beaktas för en smidigare implementation.
tidsanvändning och att identifiera faktorer som kan bidra till en smidigare implementation. Arbetet syftar även till att belysa för- och nackdelar med verktyget. Studien har genomförts som en kvalitativ intervjustudie där tre teammedlemmar intervjuats. Materialet har analyserats genom kodning för att identifiera återkommande teman. Dessa koder sammanställdes sedan till kategorier som blev fem i antal.
Resultaten visar att införandet av verktyget medför förändringar för teamet gällande rutiner, arbetssätt, arbetsmängd och ansvar. Eftersom teamet befinner sig tidigt i implementationsprocessen har större förändringar ännu inte skett, men onboarding av sina applikationer och hantering av utmaningar har genomförts. Verktyget har integrerats i teamets säkerhetsrutiner genom veckovisa triagemöten och månatliga säkerhetsgranskningar, vilket i sin tur har ökat teamets ansvar. IAST-verktyget möjliggör intern granskning av sårbarheter, vilket minskar beroendet av externa säkerhetsgranskningar och gör teamet mer självständigt. Initialt uppstod tekniska utmaningar såsom prestandaproblem, konfigurationssvårigheter och felklassificering, samt praktiska utmaningar kopplade till hantering av stora mängder upptäckter, prioriteringar och arbetssätt samt eventuellt ökad arbetsmängd i de fall redan existerande säkerhetsverktyg överlappar med IAST-verktyget. Bristande dokumentation och introduktion till verktyget försvårade implementationsprocessen, liksom avsaknaden av tydligt allokerad tid för implementation. Fördelar med verktyget inkluderar enkel implementering och hantering, ökad tillförlitlighet samt att teamet har möjlighet att åtgärda sårbarheter innan de dyker upp i produktion, vilket ökar produkternas kvalitet. En teammedlem tog initiativ till att skapa ett proof of concept
över verktyget och blev en nyckelperson i implementationsprocessen för bolaget. Framtida arbete inkluderar förbättrad rapportering, ökad testtäckning och hantering av verktygets upptäckter genom klassificering och exkludering av endpoints samt införandet av mognadsnivåer på implementationsprocessen för att tydliggöra implementationens status hos
de olika teamen. Begränsningar i studien utgörs av ett litet urval och varierande erfarenhetsnivåer hos informanterna, vilket påverkat intervjufrågornas relevans och svarens jämförbarhet samt att teamet befinner sig tidigt i implementationsprocessen. Trots detta ger studien insikter i hur ett IAST-verktyg påverkar ett utvecklingsteam och vilka faktorer som bör beaktas för en smidigare implementation.