Begrepsoversikt
Formålet med denne begrepsoversikten er å skape en felles forståelse av begreper som anvendes i temaveilederen.
| Begrep | Definisjon |
|---|---|
| DevOps | DevOps er en tilnærming til programvareutvikling og IT-drift som fremmer samarbeid, automatisering og integrasjon mellom utviklingsteam (Dev) og driftsteam (Ops) for å muliggjøre raskere, mer pålitelige og kontinuerlige leveranser av programvare. |
| DevSecOps | DevSecOps er et begrep en utvidelse av DevOps-praksisen som integrerer sikkerhet (Sec) i hele utviklings- og driftsprosessen, slik at sikkerhetstiltak og kontroller blir en naturlig del av programvareutviklingen, fra kodebygging til distribusjon, uten å ofre hastighet eller smidighet. |
| Drift | Drift er den kontinuerlige administrasjonen, overvåkingen og vedlikeholdet av IT-systemer, programvare og infrastruktur for å sikre at de fungerer som forventet. |
| Fase | En fase i DevOps-syklusen. En fase kan også ses på som konteksten man er i relatert til programvareutvikling. Eksempler på dette er to av kontekstene en utvikler skifter raskt mellom: programmering og test. Utvikler vil typisk veksle mellom å programmere et stykke programvare for så å lage tester for den nye programvarebiten. |
| Informasjonssikkerhet | Informasjonssikkerhet er praksisen med å beskytte informasjon mot uautorisert tilgang, endring, tap eller ødeleggelse, ved å sikre konfidensialitet, integritet og tilgjengelighet av data gjennom passende sikkerhetstiltak og kontroller. |
| Penetrasjonstesting | Penetrasjonstesting er en kontrollert sikkerhetstest der man simulerer angrep for å identifisere og utnytte sårbarheter i et system, nettverk eller applikasjon. |
| Personopplysningssikkerhet | Personopplysningssikkerhet handler om å beskytte personopplysninger mot at uvedkommende får tilgang, tap, misbruk eller annen kompromittering. Målet er å sikre at disse opplysningene behandles trygt og ansvarlig i henhold til loven (som GDPR i Europa). |
| Programvare | Programvare er en samling instruksjoner som får datamaskiner til å utføre oppgaver. Den kan være systemprogramvare som operativsystemer, eller applikasjoner som brukes av brukere. |
| Programvareutvikling | Programvareutvikling er prosessen med å lage programvare, som inkluderer planlegging, koding, testing og implementering for å møte brukerens krav. |
| Restrisiko | Restrisiko er risikoen som gjenstår etter at relevante sikkerhetstiltak og kontroller er implementert. Denne risikoen er kjent og bevisst akseptert av virksomheten, ofte fordi kostnaden eller innsatsen ved å fjerne risikoen helt overstiger den potensielle gevinsten. |
| Riskoanalyse | Risikoanalyse er en systematisk prosess for å identifisere, vurdere og prioritere risikoer. Formålet er å forstå mulige trusler, sårbarheter og konsekvenser for virksomhetens systemer og data, samt å gi grunnlag for beslutninger om tiltak som skal redusere eller akseptere risikoen. |
| Sikker koding | Sikker koding er praksisen med å utvikle programvare som er motstandsdyktig mot sikkerhetssårbarheter ved å anvende beste sikkerhetspraksis, teknikker og verktøy tidlig i utviklingsprosessen. Målet er å forhindre vanlige sikkerhetsfeil som kan utnyttes senere, ved å bygge inn sikkerhet i koden fra starten av. |
| Sikkerhetsarkitektur | Sikkerhetsarkitektur er hvordan sikkerhetstiltak og kontroller er strukturert og utformet i et system. Den beskytter informasjon og ressurser mot trusler, sårbarheter og uautorisert tilgang. |
| Statisk kodeanalyse | Statisk kodeanalyse er en metode for å undersøke kildekoden uten å kjøre programmet, med mål om å identifisere feil, sårbarheter og avvik fra kodestandarder. |
| Systemeier | I dette dokumentet er systemeieres oppgaver og ansvar avgrenset til Systemeier som i rollebekrivelsen. |
| Systemutvikling | Systemutvikling er prosessen med å planlegge, designe, utvikle, teste og implementere programvareløsninger som tilfredsstiller spesifikke behov og krav. |
| Teamlead | En teamlead for programvareutvikling koordinerer teamets arbeid, sørger for at sikkerhetsprinsipper følges og at risikohåndtering er en del av prosessene. De fjerner hindringer og sikrer at teamet stadig forbedres og utvikler sin kompetanse. |
| Techlead | En techlead for programvareutvikling har ansvar for teknisk arkitektur og kodekvalitet med fokus på sikkerhet. De utfører risikovurderinger, anbefaler tiltak, og sørger for at sikkerhet er integrert i utviklingsprosessen og automatiserte leveranseløp. |
| Utvikler | En utvikler skriver sikker kode basert på prinsipper for sikker koding, og utfører sikkerhetstesting. De rapporterer risikoer, oppdaterer tredjepartskomponenter og følger med på applikasjonens sikkerhet når den er i drift. |