Für die Bereitstellung des bestmöglichen Service verwenden wir Cookies. Mit der Nutzung der Website erklären Sie sich mit dem Einsatz einverstanden. Zur Datenschutzerklärung

Suche

Pizza Engineering: Maturity-Modell

Daniel Scherrer 12. Oktober 2022

Die Kolumne von Daniel Scherrer.

Der erste Tag im Sportverein. Ich erinnere mich gut. Alles ist unsicher, viele neue Gesichter und Eindrücke prägen sich ein. Dann folgt das zweite und dritte Training. Die Unsicherheit schwindet, der Spass, aber auch der Ehrgeiz steigt stufenweise.

Mein Interesse galt immer dem Teamsport – ich wusste, ich kann nicht alleine gewinnen und muss mich auf andere verlassen können. Denn nur als Team kann man auf lange Dauer bestehen. Wenn sich jedes Teammitglied auf seiner Position stärkt und Erfahrung sammelt, können wir auch gegen bessere Teams mit guten Einzelspielern erfolgreich sein.

Ich sehe viele Parallelen in der Softwareentwicklung. Auch hier ist es das Team, das oftmals über Erfolg oder Misserfolg entscheidet. Als wir uns für ein Bug-Bounty-Programm entschieden haben, starteten alle Kolleginnen und Kollegen in unbekanntes Terrain. Wir hatten einige Unsicherheiten und mussten zuerst ein Team zusammenstellen und gemeinsam die Spielregeln kennenlernen. Ein paar gute und erfahrene Coaches an der Seitenlinie versuchten, uns mit ihren Erfahrungen beizustehen. So begannen wir beispielsweise zuerst zu definieren, ab wann eine Anwendung von uns bereit für ein Bug Bounty ist. Das erste Lieferobjekt war eine «Definition of Ready-Liste». Im 2022 haben wir diese Liste immer weiter verfeinert und daraus ein eigenes Bug Bounty Maturitätsmodell gebaut. Auf Basis dieses Vorbereitungsplans haben wir schliesslich unser Produkt VOTING Ausmittlung für das Bug-Bounty-Programm fit gemacht.

Am 23. Mai fand dann das erste Ligaspiel statt, das Private Bug Bounty. Anders als im Sport gibt es hier keine klaren Gewinner oder Verlierer – da hinkt wohl meine Sportanalogie ein wenig. Auf jeden Fall half uns unser Reifegradmodell, die notwendigen Arbeiten zu strukturieren. Seit kurzem befinden wir uns bereits in der nächsten Stufe des Modells, im Public Bug Bounty. Ein Blick auf das Modell zeigt: Das Meiste konnten wir gemäss unserem Plan schaffen. 

Was nun auf uns zukommen wird, wissen wir noch nicht ganz, aber das Team ist sehr motiviert, sich kontinuierlich zu verbessern und möchte jeden Tipp von der Coaching-Zone, vom Team selbst oder auch von allen Zuschauer:innen entgegennehmen. Wie es im internen Engineering Manifest von Abraxas so schön heisst: «Wir sind offen für Veränderungen, denn das ist die Definition von Fortschritt.»

Und ich trainiere weiter...

Daniel Scherrer

Über Daniel Scherrer

Daniel Scherrer ist Chief Software Architect bei Abraxas. Er plant und entwickelt Software konsequent entlang bewährter und sicherer Methoden. Er leitet das Abraxas Bug-Bounty-Programm.

Lesen Sie jetzt

  • Pizza Engineering

    Die Kolumne von Daniel Scherrer.
    Daniel Scherrer
    Daniel Scherrer // Chief Software Architect
    11.07.2022 Bounty
    Weiterlesen
  • So läuft die Jagd nach den Bounties

    In wenigen Wochen ist es soweit: Das neue Ergebnisermittlungssystem der Kantone SG und TG wird vom Private ins Public Bug-Bounty-Programm überführt. Zeit für eine erste Bilanz. Das Interesse der Security Researcher ist stark gestiegen. Dennoch sind die bisher eingetroffenen Findings vor allem unkritischer Natur.
    Daniel Scherrer
    Daniel Scherrer // Chief Software Architect
    03.08.2022 Bounty
    Weiterlesen