¿Busco comentarios sobre el ciclo de vida seguro del desarrollo para Scrum que se ha probado?

7

De hecho, esta pregunta está dirigida a SDL pero para Scrum. El A-SDL de Microsoft es bueno, pero honestamente ni siquiera me atrevo a probarlo en la realidad, ya que parece demasiado académico. Me refiero a lo que piden, requiere un ejército de desarrolladores! o un Scrum dedicado para el modelado de amenazas, ¡en caso de que los modelos sean sólidos! Por lo tanto, le agradecería que compartiera sus comentarios sobre cualquier enfoque de SDL que haya utilizado para Scrum (¡incluyendo A-SDL, ya que puede demostrar que estoy equivocado!)

    
pregunta Phoenician-Eagle 22.11.2010 - 09:24
fuente

2 respuestas

2

Muy buena pregunta ... A menudo se ve que SDL y Agile están en desacuerdo, aunque no necesitan estarlo.
De hecho, recientemente di una charla en OWASP sobre esto (Ágil en general, no necesariamente SCRUM), y se reunió con algo de escepticismo al principio ... pero al final la mayoría se convenció de la posibilidad, al menos.

Estoy de acuerdo con el SDL de MS, aunque creo que es uno de los mejores modelos para grandes empresas, es "pesado" (como dije en otra pregunta SDL liviana ), y tiene muchos gastos generales. (aunque no creo que sea académico, simplemente no se aplica a la mayoría de nosotros).

Sin configurar una SDL completa aquí, y sin el contexto de conocer su organización, diría que estos son algunos de los elementos importantes:

  • Capacitación (que ya es una parte importante de la mayoría de las prácticas ágiles)
  • Asigne los requisitos de SDL a las tareas ágiles y permita que el equipo los complete ellos mismos. No se trata de pasar tus puntos de control ...
    • Se agregaron historias no funcionales al trabajo pendiente
    • Criterios de finalización (sprint / release)
    • Requisitos de seguridad del producto - > " ab usuario" historias
  • Frecuencia basada en " Cuñas " (no wedgies )
    • Algunas tareas son requisitos únicos, simplemente deben completarse como cualquier otro requisito
    • Algunas tareas son para cada sprint, se denominan "Criterios de finalización de Sprint"
    • Algunos son solo para lanzamientos públicos (algunas metodologías separan los dos, algunos tratan cada carrera como un lanzamiento público) - "Criterios de finalización de lanzamiento"
    • A veces es posible que desee hacer un "pico de seguridad": todo un sprint centrado en diferentes aspectos de seguridad
    • La idea de MS de los requisitos de "Bucket" parece agradable, aunque nunca la he implementado y dependería en gran medida de la cultura / necesidades de la organización. (Configure un grupo de requisitos con la misma clasificación, o "cubo", y cada vez que necesite elegir uno de cada grupo).

Este es solo el esquema general ... Déjame saber si quieres más detalles. Por supuesto, lo que se incluye en cada cuña y las actividades que se deben realizar cuando y cómo, realmente dependen de conocer su organización, cultura, necesidades, perfil de riesgo, etc., etc.

Encuentro que el cambio de concepto principal de SDL "clásico" (o "Waterfall" SDL) que necesita ser aceptado es:

  

"Classic" SDL fue sobre control.
  Agile SDL es sobre visibilidad

    
respondido por el AviD 22.11.2010 - 09:48
fuente
1

Reemplaza Scrum con ICONIX. Lo único que funciona con Scrum es la revisión de iteración centrada en la seguridad y el trinquete. Muchas de las implementaciones de Scrum son de color verde-azul, por lo que tendría sentido optimizarlas también para la seguridad. Sería muy inteligente fortalecer la máquina virtual si se utiliza un código administrado, o vigilar una lista de funciones prohibidas. Además, podrían usarse componentes externos seguros. En realidad, hay mucho que puedes hacer, pero olvídate de SDL, puntos de contacto o CLASP.

    
respondido por el atdre 22.11.2010 - 09:34
fuente

Lea otras preguntas en las etiquetas