Комментарии 4
Походу втащат девелоперу.
Подбородок задран, руки низко, локти не прижаты и очки неплохо бы снять.
Извините, чот КДПВ в глаз бросилась.
А за статью спасибо.
Подбородок задран, руки низко, локти не прижаты и очки неплохо бы снять.
Извините, чот КДПВ в глаз бросилась.
А за статью спасибо.
А почему решили «натянуть» классический SDL на agile-процесс, а не взяли за основу SDL-Agile от того же Microsoft?
Как я понял, у вас остались security gates для традиционных методологий разработки, но примененные к суженной области — только к отдельно выбранным фичам. Это, по идее, должно создавать определнные препятствия для гибкости процесса. Плюс, разработчики остаются в стороне от процесса — нет никаких security user stories/abuse-stories, только контроли со стороны команды безопасности на промежуточных этапах в рамках спринта.
Как я понял, у вас остались security gates для традиционных методологий разработки, но примененные к суженной области — только к отдельно выбранным фичам. Это, по идее, должно создавать определнные препятствия для гибкости процесса. Плюс, разработчики остаются в стороне от процесса — нет никаких security user stories/abuse-stories, только контроли со стороны команды безопасности на промежуточных этапах в рамках спринта.
Мы, по сути, переработали Agile-SDL процесс. Только часть наших контролей (речь о тех, что привязаны к релизному циклу) применяются не для спринта, а для фичей.
Разработчики и тестировщики у нас также участвуют в процессе, особенно на этапе анализа реализации. Часть проблем с безопасностью они находят самостоятельно еще до того, как сборка попадет на этап финального ревью.
Разработчики и тестировщики у нас также участвуют в процессе, особенно на этапе анализа реализации. Часть проблем с безопасностью они находят самостоятельно еще до того, как сборка попадет на этап финального ревью.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как внедрить Secure Development Lifecycle и не поседеть. Рассказ Яндекса на ZeroNights 2017