致力于确保软件安全的行业联盟已发出指南,以降低攻击者利用的漏洞的风险将在成品代码中结束。
特别是,代码(Safecode)卓越的软件保障论坛正在解决如何在敏捷软件开发过程中阻止可能蠕虫的漏洞。
有关的:'坚固的宣言'促进安全编码
敏捷是由团队中的阶段增量软件开发的框架,该团队在称为Sprints的阶段一起开发第一次迭代代码,然后定期重新审视,以根据新要求和用户输入来改进产品。
Safecode的新纸,“敏捷开发环境的实用安全故事和安全任务,”敏捷团队列出了特定目标列表,他们可能正在尝试在实现每一个的首发和任务中实现。
参加Safecode的主要高级软件工程师,他们在每个Sprint的每个Sprint的结束时都在每个冲刺的结束时精确地改编,但他们在参加Safecode的主要高级软件工程师的一条路径上设置了敏捷的团队。该组织由一些主要供应商组成:Adobe,EMC,瞻博网络,微软,诺基亚,SAP,西门子和赛门铁克。
本文奠定了36个目标,敏捷团队可能希望在软件产品上追求,并旨在补充本集团撰写的早期最佳实践纸张。从Safecode的成员内编码团队的经验中获集这些目标,作为接近敏捷编码的有效方法。
被称为故事,这些特定目标是以简单的语言编写的,并且从特定的角度来看。例如,一个故事读取:“作为一个(n)架构师/开发人员,我想确保和作为[质量保证],我想验证是否阻止了跨站点脚本攻击。”
故事伴随着一系列任务来完成这一目标,每个任务都标志着应该在每项任务上工作的团队成员类别。与上面示例中的故事相关的一项任务是针对开发人员和测试人员,并在生成动态网页时读取:“[D / T],过滤未打算(例如,来自用户的任何浏览器可执行内容的输入)数据库中的origigation字段)。考虑最终呈现的内容的所有形式的内容输入,如系统外部生成的事件,日志消息,URL中的参数,表单字段值等执行此操作过滤服务器- 截止,接近使用。“
根据第一个Sprint之后朝向该目标的实现程度完成了多少,它可能仍然是下一个的任务,或者改进以解决裁剪的新问题。任务列表旨在指导敏捷团队实现将降低漏洞风险的目标,但不是通过设置不适用于所有项目的刚性步骤集。
Bonver表示,为Safecode成员公司为Safecode成员公司的“敏捷中的安全是一项挑战”。“他们决定分享他们的经历,他们取得了成功。”