Muy buena pregunta ... A menudo se ve que SDL y Agile están en desacuerdo, aunque no necesitan estarlo.
De hecho, recientemente di una charla en OWASP sobre esto (Ágil en general, no necesariamente SCRUM), y se reunió con algo de escepticismo al principio ... pero al final la mayoría se convenció de la posibilidad, al menos.
Estoy de acuerdo con el SDL de MS, aunque creo que es uno de los mejores modelos para grandes empresas, es "pesado" (como dije en otra pregunta SDL liviana ), y tiene muchos gastos generales. (aunque no creo que sea académico, simplemente no se aplica a la mayoría de nosotros).
Sin configurar una SDL completa aquí, y sin el contexto de conocer su organización, diría que estos son algunos de los elementos importantes:
- Capacitación (que ya es una parte importante de la mayoría de las prácticas ágiles)
- Asigne los requisitos de SDL a las tareas ágiles y permita que el equipo los complete ellos mismos. No se trata de pasar tus puntos de control ...
- Se agregaron historias no funcionales al trabajo pendiente
- Criterios de finalización (sprint / release)
- Requisitos de seguridad del producto - > " ab usuario" historias
- Frecuencia basada en " Cuñas " (no wedgies )
- Algunas tareas son requisitos únicos, simplemente deben completarse como cualquier otro requisito
- Algunas tareas son para cada sprint, se denominan "Criterios de finalización de Sprint"
- Algunos son solo para lanzamientos públicos (algunas metodologías separan los dos, algunos tratan cada carrera como un lanzamiento público) - "Criterios de finalización de lanzamiento"
- A veces es posible que desee hacer un "pico de seguridad": todo un sprint centrado en diferentes aspectos de seguridad
- La idea de MS de los requisitos de "Bucket" parece agradable, aunque nunca la he implementado y dependería en gran medida de la cultura / necesidades de la organización. (Configure un grupo de requisitos con la misma clasificación, o "cubo", y cada vez que necesite elegir uno de cada grupo).
Este es solo el esquema general ... Déjame saber si quieres más detalles. Por supuesto, lo que se incluye en cada cuña y las actividades que se deben realizar cuando y cómo, realmente dependen de conocer su organización, cultura, necesidades, perfil de riesgo, etc., etc.
Encuentro que el cambio de concepto principal de SDL "clásico" (o "Waterfall" SDL) que necesita ser aceptado es:
"Classic" SDL fue sobre control.
Agile SDL es sobre visibilidad