如果您了解应用程序安全性的广泛领域,您可能会问自己,如何在一个可能很小的软件项目中考虑所有这些因素。这里有一个小注释:仍然相对清晰的 OWASP 应用程序安全验证目录已经包含大约 75 项检查。然而,其他需求目录要广泛得多。
那么,如何明智地将所有这些现有知识转移到敏捷项目中呢?我向你解释一下:
首先,不完全严重的浪费变体是一种选择:您委托新的、还不是很忙的员工填写目录或相应的清单 - 最好通过单独的积压项目。理想情况下,此人在其他团队成员处理问题时不会打扰他们。然后,您应该妥 牙科电子邮件列表 善保管生成的文档,因为它包含敏感内容 - 毕竟,这一切都与安全有关。我认为这非常接近“浪费”的定义。不幸的是,这里以某种夸张的方式呈现的内容往往有真相的核心。
作为替代方案,您还可以使用“完成的定义”来处理安全主题 - 这里必须满足许多标准才能将主题视为已结束。安全作为一种非功能性属性在主题上非常符合这个定义。困难在于找到一种合理的实施形式。链接需求目录并假设团队已经正确完成“完成”的定义可能行不通。然而,这种方法的优点是,您不能像特定安全积压项目那样,忽略安全优先级。然而,一个缺点是项目中安全需求的可见性较低。
具有更多背景的安全性
如果你看看前面的两种方法,肯定会相对较快地出现这样的问题:安全性在多大程度上具有一般性,以及安全性的哪一部分在哪些情况下相关。在这里遵守所有安全要求是没有帮助的,因为它们的数量实在是太高了。最好只查看上下文中的相关要求。这意味着,如果您首先考虑和评估所有安全要求,您还可以从特定环境开始,问问自己哪些要求与这里到底相关。
例如,在评估漏洞时,这种上下文知识也是必要的。当前评估漏洞的方法 - 例如行业标准 CVSS(通用漏洞评分系统) - 尝试在评估中包含此上下文。
例如,上下文参考可以包括是否可以通过网络到达相应的应用程序的问题。此处创建了一个抽象的上下文引用,但是,它在实际软件项目中看起来可能有很大不同。举个例子:CVSS 评级为 10,即漏洞的最高严重性,最多可能与您自己的项目无关,因为没有调用相应的库。顺便说一句,类似的事情经常发生。当然,这并不是要从根本上无视 CVSS 评级。