¿Qué aspecto tiene un buen requisito de seguridad para una aplicación? Estoy hablando de requisitos de seguridad tanto funcionales como no funcionales aquí.
Por razones de trazabilidad, considero importante que el requisito sea completamente comprobable. También quiero que sea independiente de la tecnología. ¿Qué más se considera importante para un buen requisito de seguridad?
La capacidad de prueba es la clave, y ciertamente ayuda a que los equipos de control de calidad se comprometan si tienen algo para probar.
Tengo un punto de vista ligeramente retorcido sobre los requisitos, ya que me gusta la idea de anti-requisitos. La mayoría de los requisitos establecen lo que el sistema debe / puede / puede hacer. Los requisitos previos específicamente establecen cosas que el sistema no debería hacer, y algunas veces es útil pensar de esa manera y capturarlos.
por ejemplo tiende a haber requisitos a lo largo de las líneas de El sistema debe tener un mecanismo para caducar contraseñas después de un período de tiempo.
Aunque rara vez existe el anti-requisito No se podrá acceder al sistema mediante el uso de una contraseña caducada.
pero está implícito en el primero.
Esta es una pregunta muy general, tan simple conmigo ... veo los requisitos como "objetivos" que quiero que cumpla mi software / hardware / lo que sea. Por lo tanto, siento que un buen requisito sigue la misma filosofía que un buen objetivo. S.M.A.R.T.E.R es el estándar de oro.
Por supuesto, algunas cosas como "Basado en el tiempo" no siempre encajan.
Lea otras preguntas en las etiquetas requirements