免费下载案例集|20+数字化领先企业人才培养实践经验 了解详情
写点什么

安全代码开发:敏捷的牺牲者?

  • 2012-03-20
  • 本文字数:965 字

    阅读完需:约 3 分钟

敏捷团队以快速产生可靠和高质量的代码而著称。然而,快速交付的压力可能会导致走捷径的评审,缩减测试并缺乏对安全代码的重视。安全开发与敏捷共存是否只是一厢情愿的想法呢?

根据一项中小型企业的研究表明,敏捷团队并没有把安全当回事,即使是开发通过 Web 访问的系统。该研究引用说,

采访表明,小型和中型的敏捷软件开发组织不使用任何特定的方法来实现安全目标,即使当他们的软件是面向 Web 的,是潜在的攻击目标。这种情况下,研究证实即使在某些案例中安全是被明确要求的,安全设计作为实施团队的输入要求之一,最终的结果是否满足安全目标也没有保证。

Adrian Lane,也关注 敏捷方法开发软件风险的安全方面。 Adrian

关注功能的高效交付、以牺牲软件开发的安全为代价基于书本式的敏捷实施问题,并推动软件之外的安全确认与服务。

Rocky Heckman 认为,像 TDD 和结对编程这样的技术, 主要还是聚焦在功能上

测试的重点放在高质量代码与可靠的可重复性操作。很少或根本没有提及渗透式测试或威胁模型。

敏捷开发是否意味着完全无视安全?看起来也许有一些解决方法。

Jim Bird 提出,通过一点点地提醒可能是一种渐进地解决这些风险的方法.

据 Jim 的观点,就像其他的质量提升实践那样,安全实践是要融入团队的意识中。 团队可以使用增量受攻击面分析来监控系统的安全风险状况的变化,这可能是由于接口架构的改变导致的。

对于逐步构建软件并对代码非常熟悉的团队来说,威胁模型并没有想象的那么严重。大部分可在 1 周或 2 周的 Sprint 做完的变更并不大,而且可以增量的修改,不用花太多时间来评审,即使受攻击面被改变了。

Jim 还提到了利用安全 Sprint,微软称之为安全突击或“迷你安全推进”,在该 sprint 中,团队寻找现有代码的安全漏洞,然后再作出进一步的重大变更。Jim 引用 Adrian Lane 的话,他提到,开发团队比客户更关注安全性。开发团队在其开发过程中应给予足够的重视并担负起责任。

即使一个强大的和善意的客户也不能被指望了解应用程序的安全问题,或如何构建安全的软件。他们自己的事情已经很多了

因此,正确的措施和心态有可能把安全作为开发过程的一部分。

Jim 说,

没有理由认为敏捷开发 = 安全故障。技术工作,对于质量和细节与构建安全软件的承诺是相同的,而不论团队采用什么样的开发方式。

查看英文原文: Secure Code Development: A Casualty With Agile?

2012-03-20 10:191932
用户头像

发布了 42 篇内容, 共 17.7 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

财经大课:如何看待规模化与差异化竞争

石云升

财经思维 9月日更

【HTML5游戏】从敲打空格键开始

devpoint

HTML5游戏 9月日更

LeetCode刷题278-简单-第一个错误版本

ベ布小禅

9月日更

洞穿性能测试痛点,PerfDog以提升应用和游戏的品质为使命

WeTest

🐦【Mybatis开发指南】如何清晰的解决出现「多对一模型」和「一对多模型」的问题

洛神灬殇

Java mybatis mybatis配置 9月日更

ShardingSphere 语句解析生成初探

源码 ShardingSphere

Linux内核四大核心框架

hanaper

(深入篇)漫游语音识别技术—带你走进语音识别技术的世界

声网

深度学习 音视频 语音识别

AISWare AntDB 亚信数据库在多省份计费系统应用案例

亚信AntDB数据库

案例分享 #数据库 9月日更

重磅!博睿数据通过CMMI5级评估,国内APM领域首家

博睿数据

HTTP系列之:HTTP中的cookies

程序那些事

Java 网络协议 HTTP cookies

kubebuilder 构建控制器说明点

Geek_f24c45

Kubernetes kubebuilder kube-controller

网络攻防学习笔记 Day124

穿过生命散发芬芳

9月日更 互联网安全

未来10年,5个C/C++吃香的细分领域技术

奔着腾讯去

云原生 网络安全 音视频 DPDK 虚拟化技术

链路压测中各接口性能统计

FunTester

性能测试 测试框架 测试开发 FunTester 链路测试

直播访谈-数据产品修炼之路

第519区

数据产品经理

AJAX获取的日期相差8小时

hasWhere

数据安全法真的来了,这6个“雷区”千万别踩!

腾讯安全云鼎实验室

数据安全 数据安全法

数字人民币最新技术成果将亮相2021年服贸会

CECBC

Java + opencv 实现图片修复(图片去水印)

张音乐

Java OpenCV 音视频 9月日更 图片去水印

线程同步类CyclicBarrier在性能测试集合点应用

FunTester

多线程 性能测试 线程安全 测试框架 FunTester

Go 专栏|变量和常量的声明与赋值

AlwaysBeta

Go 语言

看云起云动 览开源盛世 | 亚马逊云科技中国峰会Dev Day线上来袭!

亚马逊云科技 (Amazon Web Services)

Go 专栏|复合数据类型:数组和切片 slice

AlwaysBeta

Go 语言

Go 专栏|复合数据类型:字典 map 和 结构体 struct

AlwaysBeta

Go 语言

“人类先锋”点亮物联网灯塔

脑极体

以两军问题为背景来演绎BasicPaxos

OpenIM

北鲲云超算平台如何帮助现代生物制药发展?

北鲲云

数据结构和算法在流程画布中的实际应用

GrowingIO技术专栏

数据结构 G6 图可视化引擎 流程画布

MySQL 获取表的信息

玄兴梦影

MySQL 数据库表 查询语句

Go 专栏|基础数据类型:整数、浮点数、复数、布尔值和字符串

AlwaysBeta

Go 语言

安全代码开发:敏捷的牺牲者?_研发效能_Vikas Hazrati_InfoQ精选文章