Security leaderboard: konkurranse for å bygge god sikkerhetskultur

By Anders Olsen Sandvik on June 21, 2026

Vi flyttet ganske nylig fra Bitbucket til GitHub, og utviklerne i SPK har ikke helt begynt å ta i bruk alle fordelene GitHub gir oss. En av dem er sikkerhetsvarslene: Dependabot, code scanning og secret scanning. De står på, men nesten ingen følger dem opp.

Det så jeg fort i statistikken: antallet åpne sikkerhetsvarsler bare økte og økte. På noen måneder var vi oppe i over 3 000 åpne varsler, en økning på nesten 145 %. De fleste teamene prioriterte ikke å rydde, selv om et par stykker var flinke.

Graf som viser åpne sikkerhetsvarsler øke fra rundt 1 200 til over 3 000 fra februar til mai — Trenden gikk feil vei: fra rundt 1 200 til over 3 000 åpne varsler på et par måneder.

Hva kan vi gjøre?

Jeg satt en stund og tenkte på hvordan vi kunne få teamene mer bevisste på disse varslene. Påminnelser og rapporter ingen leser hjelper sjelden. Så jeg landet på å spille på konkurranseinstinktet i stedet: en oversikt over alle teamene og hvor mange åpne sikkerhetsvarsler de har. Når et team ser hvor det ligger på listen, både innad i produktområdet og totalt, vil de fleste kjenne litt på at de ikke vil være teamet på toppen.

Prototypen

Jeg endte opp med å bygge en prototype, et «security leaderboard». Den henter Dependabot, code scanning og secret scanning daglig og rangerer teamene etter en kritikalitet-vektet score. Den ligger på sikkerhet.tool.spk.no.

Skjermbilde av security leaderboard med team rangert etter score — Designet er bevisst spillaktig, 8-bit highscore-stil, så det treffer på en lett tone.

Det interessante kom fram med en gang: et par team hadde nesten ingen varsler, selv med mange prosjekter. De hadde gode rutiner fra før. Så de kjenner tydeligvis godt til varslene i GitHub, og da handler dette mest om å spre den samme oppmerksomheten til de andre teamene.

En lett tone

Poenget er ikke å henge ut noen, men å få et mer aktivt forhold til sikkerhetsfeil enn vi har i dag. Og sommeren er en grei tid å rydde litt på: hvem klarer å lukke flest åpne varsler?

Skjermbilde av Slack-melding som inviterer teamene til å sjekke leaderboardet — Slik inviterte jeg teamene til å ta en titt.

Oppsummering

Det som begynte med en graf som pekte feil vei, ble til en enkel, spillaktig tavle som gjør sikkerhetsarbeidet synlig. Jeg har troen på at litt konkurranse gjør mer for ryddingen enn en ny påminnelse hadde gjort. Vi får se om litt om vi har klart å bygge en kultur som tar et aktivt forhold til åpne sikkerhetsvarsler.