Der erste Tag im Sportverein. Ich erinnere mich gut. Alles ist unsicher, viele neue Gesichter und Eindrücke prägen sich ein. Dann folgt das zweite und dritte Training. Die Unsicherheit schwindet, der Spass, aber auch der Ehrgeiz steigt stufenweise.
Mein Interesse galt immer dem Teamsport – ich wusste, ich kann nicht alleine gewinnen und muss mich auf andere verlassen können. Denn nur als Team kann man auf lange Dauer bestehen. Wenn sich jedes Teammitglied auf seiner Position stärkt und Erfahrung sammelt, können wir auch gegen bessere Teams mit guten Einzelspielern erfolgreich sein.
Ich sehe viele Parallelen in der Softwareentwicklung. Auch hier ist es das Team, das oftmals über Erfolg oder Misserfolg entscheidet. Als wir uns für ein Bug-Bounty-Programm entschieden haben, starteten alle Kolleginnen und Kollegen in unbekanntes Terrain. Wir hatten einige Unsicherheiten und mussten zuerst ein Team zusammenstellen und gemeinsam die Spielregeln kennenlernen. Ein paar gute und erfahrene Coaches an der Seitenlinie versuchten, uns mit ihren Erfahrungen beizustehen. So begannen wir beispielsweise zuerst zu definieren, ab wann eine Anwendung von uns bereit für ein Bug Bounty ist. Das erste Lieferobjekt war eine «Definition of Ready-Liste». Im 2022 haben wir diese Liste immer weiter verfeinert und daraus ein eigenes Bug-Bounty-Maturitätsmodell gebaut. Auf Basis dieses Vorbereitungsplans haben wir schliesslich unser Produkt VOTING Ausmittlung für das Bug-Bounty-Programm fit gemacht.
Am 23. Mai fand dann das erste Ligaspiel statt, das Private Bug Bounty. Anders als im Sport gibt es hier keine klaren Gewinner oder Verlierer – da hinkt wohl meine Sportanalogie ein wenig. Auf jeden Fall half uns unser Reifegradmodell, die notwendigen Arbeiten zu strukturieren. Seit kurzem befinden wir uns bereits in der nächsten Stufe des Modells, im Public Bug Bounty. Ein Blick auf das Modell zeigt: Das Meiste konnten wir gemäss unserem Plan schaffen.
Was nun auf uns zukommen wird, wissen wir noch nicht ganz, aber das Team ist sehr motiviert, sich kontinuierlich zu verbessern und möchte jeden Tipp von der Coaching-Zone, vom Team selbst oder auch von allen Zuschauer:innen entgegennehmen. Wie es im internen Engineering Manifest von Abraxas so schön heisst: «Wir sind offen für Veränderungen, denn das ist die Definition von Fortschritt.»
Und ich trainiere weiter...
Über Daniel Scherrer
Daniel Scherrer ist Chief Software Architect bei Abraxas. Er plant und entwickelt Software konsequent entlang bewährter und sicherer Methoden. Er leitet das Abraxas Bug-Bounty-Programm.