Il ruolo fondamentale in SDL è quello del Security Advisor. Il suo ruolo è quello di fare da mediatore fra il team di sviluppo e “la sicurezza”. Sicurezza che in Microsoft è rappresentata da un team centrale dedicato, ma potrebbe essere anche il dipartimento sistemi informativi della nostra azienda.

Il SA assiste il team di sviluppo in ogni fase del ciclo di vita, garantendo la corretta adozione delle policy e delle best practice. Inoltre dialoga direttamente con il management, onde evitare spiacevoli sorprese al momento del rilascio.

SDL è flessibile. Nasce adottando lo Spiral Model, ma è possibile applicare SDL come metodologia di gestione del ciclo di vita del software processo a qualunque metodologia di sviluppo. Posso usare MSF-Agile+SDL, Scrum+SDL, ecc…

Quindi la raccolta di requisiti non è una fase “tightening”, stringente, ma può essere modellata sulle necessità del DevTeam in base alla metodologia di sviluppo utilizzata.

La raccolta di requisiti parte da una analisi profonda delle problematiche di sicurezza. Il Security Risk Assessment (un questionario in cui si valutano le feature una ad una) è un passo fondamentale che aiuta il Program Manager a valutare il livello di rischio delle singole funzionalità.

In questa fase si deve capire come integrare la sicurezza all’interno del processo di sviluppo, identificare gli obiettivi chiave e cercare di massimizzare la sicurezza minimizzando modifiche bloccanti ed invasive al piano d’azione. I piani possono cambiare, ma i requisiti devono avere il giusto peso, ne sottovalutati ne sopravvalutati.

Nel prossimo post vedremo la fase di design Smile.

posted on giovedì 9 settembre 2010 18:45 | Print

Comments

Gravatar
# re: Security Development Lifecycle: roles and requirements
Posted by Gian Maria on 09/09/2010 18:51
Il concetto più importante di SDL a mio avviso è che la security sia considerata in ogni singolo momento della vita del software. Ecco perchè il SA assiste il team continuamente.
Gravatar
# re: Security Development Lifecycle: roles and requirements
Posted by Alessio Marziali on 11/09/2010 17:37
SDLC e' un processo non una metodologia :)
Gravatar
# re: Security Development Lifecycle: roles and requirements
Posted by Matteo Emili on 12/09/2010 00:03
@Alessio: grazie della precisazione :)
Comments have been closed on this topic.