Die agilen Softwareentwicklungsmodelle sind zum defacto Standard geworden, werden an einschlägigen Hochschulen gelehrt und in der Praxis nach Möglichkeiten umgesetzt. Wer Software nicht mit agilen Prozessen entwickelt, liegt auf den Brettern und ist bereits angezählt. So scheint es zumindest.

Folglich ist es nicht die Frage, ob Penetrationstests im agilen Umfeld machbar sind, sondern ob wir es schaffen, effektive Kontrollen in die neuen, hippen, rapiden Vorgehensweisen zu integrieren.

Mit klassischen Softwareentwicklungsprozessen wie Wasserfall oder Rational Unified Process (RUP) müssen Penetrationstester jeweils mehr Zeit investieren, um die zahlreichen Änderungen zu verstehen und zu durchleuchten.

Und das führte dann schlimmstenfalls zu einer erneuten Runde im Entwicklungsprozess, um die Fehler auszumerzen. Also zu einer weiteren Verzögerung bevor die neuen Funktionalitäten den Kunden endlich erreichen.