HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

安全代码开发:敏捷的牺牲者?

  • 2012-03-20
  • 本文字数:965 字

    阅读完需:约 3 分钟

敏捷团队以快速产生可靠和高质量的代码而著称。然而,快速交付的压力可能会导致走捷径的评审,缩减测试并缺乏对安全代码的重视。安全开发与敏捷共存是否只是一厢情愿的想法呢?

根据一项中小型企业的研究表明,敏捷团队并没有把安全当回事,即使是开发通过 Web 访问的系统。该研究引用说,

采访表明,小型和中型的敏捷软件开发组织不使用任何特定的方法来实现安全目标,即使当他们的软件是面向 Web 的,是潜在的攻击目标。这种情况下,研究证实即使在某些案例中安全是被明确要求的,安全设计作为实施团队的输入要求之一,最终的结果是否满足安全目标也没有保证。

Adrian Lane,也关注 敏捷方法开发软件风险的安全方面。 Adrian

关注功能的高效交付、以牺牲软件开发的安全为代价基于书本式的敏捷实施问题,并推动软件之外的安全确认与服务。

Rocky Heckman 认为,像 TDD 和结对编程这样的技术, 主要还是聚焦在功能上

测试的重点放在高质量代码与可靠的可重复性操作。很少或根本没有提及渗透式测试或威胁模型。

敏捷开发是否意味着完全无视安全?看起来也许有一些解决方法。

Jim Bird 提出,通过一点点地提醒可能是一种渐进地解决这些风险的方法.

据 Jim 的观点,就像其他的质量提升实践那样,安全实践是要融入团队的意识中。 团队可以使用增量受攻击面分析来监控系统的安全风险状况的变化,这可能是由于接口架构的改变导致的。

对于逐步构建软件并对代码非常熟悉的团队来说,威胁模型并没有想象的那么严重。大部分可在 1 周或 2 周的 Sprint 做完的变更并不大,而且可以增量的修改,不用花太多时间来评审,即使受攻击面被改变了。

Jim 还提到了利用安全 Sprint,微软称之为安全突击或“迷你安全推进”,在该 sprint 中,团队寻找现有代码的安全漏洞,然后再作出进一步的重大变更。Jim 引用 Adrian Lane 的话,他提到,开发团队比客户更关注安全性。开发团队在其开发过程中应给予足够的重视并担负起责任。

即使一个强大的和善意的客户也不能被指望了解应用程序的安全问题,或如何构建安全的软件。他们自己的事情已经很多了

因此,正确的措施和心态有可能把安全作为开发过程的一部分。

Jim 说,

没有理由认为敏捷开发 = 安全故障。技术工作,对于质量和细节与构建安全软件的承诺是相同的,而不论团队采用什么样的开发方式。

查看英文原文: Secure Code Development: A Casualty With Agile?

2012-03-20 10:191939
用户头像

发布了 42 篇内容, 共 17.7 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

线上数据被回滚两次我都做了哪些不正确的操作

Gopher指北

MySQL 后端

架构师训练营第十一周学习笔记

一马行千里

学习 极客大学架构师训练营

自营电商渠道转化率的简单设计思路

boshi

推广

架构师训练营第 12 周总结

邓昀垚

架构师训练营第十一周命题作业

一马行千里

极客大学架构师训练营 命题作业

智慧公安大屏可视化决策系统搭建

t13823115967

智慧公安 智慧大屏可视化

DeFi质押挖矿APP系统开发|DeFi质押挖矿软件开发

系统开发

vivo官方商城架构演进之路

vivo互联网技术

中台 架构演进 服务化

架构师视角 | 分布式缓存如何选择 ?

Java架构师迁哥

让战略不再”空虚“的战略描述

Alan

战略思考 战略

《程序员数学:使用Python进行3D图形,机器学习和仿真》PDF免费下载

计算机与AI

Python 学习 数学

培训是为了激发学员学习这门课的兴趣

boshi

职业 培训

程序员有必要读研吗?

Java架构师迁哥

传销组织的CTO | 法庭上的CTO(4)

赵新龙

CTO 传销 法庭上的CTO

区块链防伪溯源平台开发解决方案

t13823115967

区块链+ 区块链产品溯源

话题讨论 | Vue凭什么成为2020的一匹黑马?

黑马腾云

话题讨论

架构师训练营第三周学习总结

Geek_xq

面试被问线程安全怎么保障,我的回答让面试官眼前一亮

996小迁

Java 学习 架构 面试 笔记

Spock单元测试框架实战指南三 - f esle 多分支场景测试

Java老k

单元测试 spock

分布式搜索引擎Elasticsearch的架构分析

vivo互联网技术

elasticsearch 分布式 分布式搜索引擎

苦修月余,斩获bigo、腾讯offer,面经奉上!

艾小仙

Java 腾讯 面试 腾讯大厂

我是怎么教我6岁女儿编程的

勇往直前的胖子

少儿编程

二、关于大型复杂系统

数列科技杨德华

Redis 为什么这么快?这才是最完美的回答

Java架构师迁哥

LeetCode题解:45. 跳跃游戏 II,贪心正向查找,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

计算机网络基础

Minar Kotonoha

node.js 大前端 计算机网络 HTTP

JVM垃圾回收?全面详细安排!

程序员的时光

JVM GC

架构师训练营第12周作业

邓昀垚

系统稳定性建设实践总结

架构精进之路

系统架构 自我思考 系统稳定性

我摊牌了,大厂面试Linux就这5个问题

艾小仙

Java Linux 面试 大厂

甲方日常 63

句子

工作 随笔杂谈 日常

安全代码开发:敏捷的牺牲者?_研发效能_Vikas Hazrati_InfoQ精选文章