- Testdriven utveckling främjar säkerhet
- Hotmodellering måste med i processen
- Utvecklingsteamet behöver hjälp i form av standardsäkerhetskomponenter ( T ex ESAPI) och kodstandarder
- Säkerhetssprintar
Inom detta område är Agile verkligen en främjare av säkerhet. Många fina testcase är ett utmärkt exempel på ”Assurance evidence” dvs data som visar på att koden verkligen implementerar kraven korrekt (Så länge testerna är korrekta så klart.). Jag skulle dock vilja tillägga att det är många saker som är svåra att testa. Källkodsanalys kan då vara ett komplement. Dave nämnde också att oberoende pen-testing ofta måste till.
Hotmodellering
Hotmodellering är centralt i allt säkerhetsarbete. Detta måste ju då vara med som en aktivitet i utvecklingsprocessen i en sprint eller iteration. Exakt hur detta ska gå till var dock ganska oklart tycker. Ett utmärkt område för framtida forskning således.
Standardsäkerhetskomponenter
Eftersom Agile-team alltid har så bråttom att leverera affärsnytta så måste det gå snabbt att implementera säkerhet. ESAPI borde då hjälpa till genom att ge illusionen att säkerhet inte kostar så mycket i utvecklingsarbetet. Jag tycker att standardkomponenter är jättebra, men jag är inte lika övertygad att de alltid leder till stora tidsvinster.
Säkerhetssprintar
Ibland kan det vara svårt för att få acceptans för att ha med säkerhetsrelaterade stories i varje sprint. Då kan det vara ett alternativ att med jämna mellanrum lägga in en säkerhetssprint. En i publiken påpekade dock att detta var att se som något av ett misslyckande eftersom man då inte har säkerhet i åtanke genom hela projektet.
Inga kommentarer:
Skicka en kommentar