无法建立安全连接
安全开发生命周期 (SDL)中的重要事情之一是将有关漏洞的信息反馈给开发人员。
这篇文章将该实践与没有错误的敏捷实践相关。
安全事件响应
即使我们努力在没有安全漏洞的情况下发布软件,我们也无法100%成功。
当报告事件(希望负责 )时,我们将执行我们的安全响应计划。 我们必须小心解决此问题,不要引入新问题。
接下来,我们还应该寻找与所报告问题类似的问题。 在应用程序的其他部分出现与所报告的类似的问题的可能性不大。 我们应该在同一安全更新中查找并修复这些问题。
最后,我们应该进行根本原因分析,以确定为什么这种弱点首先会从裂缝中溜走。 有了这些知识,我们就可以调整流程,以确保将来不会发生类似的问题。
从安全到质量
上面概述的过程非常适合使我们的软件更加安全。
但是安全弱点本质上只是bug 。 安全问题可能比常规错误带来更严重的后果,但是一旦部署了软件 ,大多数常规错误的修复成本也很高 。
因此,以相同的方式对待所有错误(无论是安全性还是其他方式)实际上都是有意义的。
俗话说,一盎司预防胜于一磅治疗。 正如我们需要建立安全性一样 ,我们也需要建立一般的质量 。
使用敏捷方法的建筑质量
敏捷和精益社区早就知道了这一点。 例如,詹姆斯·肖尔( James Shore )在他的优秀著作《敏捷开发的艺术》中 写道 ,伊丽莎白·亨德里克森(Elisabeth Hendrickson)认为应该只包含很少的错误,无需进行分类 。
有些人反对“零缺陷”心态,声称这是不现实的。
但是,有明确的证据表明敏捷开发团队的缺陷率要低得多。 许多精益实现还报告了他们在追求零缺陷方面取得的成功。
因此,至少有传闻证据表明,可以显着减少缺陷。
当然,这将需要更改。 测试人员需要改变 , 开发 人员也需要改变 。 然后,团队中的每个人都需要说相同的语言 , 并作为一个团队一起工作,而不是孤岛。
如果我们做得好,我们将成为除虫剂,以真正有效的软件使客户满意。
参考: 安全软件开发博客中的JCG合作伙伴 Remon Sinnema提出了建立安全性和质量的要求 。
翻译自: https://www.javacodegeeks.com/2012/10/building-both-security-and-quality-in.html
无法建立安全连接