Il ruolo fondamentale in SDL è quello del Security Advisor. Il suo ruolo è quello di fare da mediatore fra il team di sviluppo e “la sicurezza”. Sicurezza che in Microsoft è rappresentata da un team centrale dedicato, ma potrebbe essere anche il dipartimento sistemi informativi della nostra azienda.
Il SA assiste il team di sviluppo in ogni fase del ciclo di vita, garantendo la corretta adozione delle policy e delle best practice. Inoltre dialoga direttamente con il management, onde evitare spiacevoli sorprese al momento del rilascio.
SDL è flessibile. Nasce adottando lo Spiral Model, ma è possibile applicare SDL come metodologia di gestione del ciclo di vita del software processo a qualunque metodologia di sviluppo. Posso usare MSF-Agile+SDL, Scrum+SDL, ecc…
Quindi la raccolta di requisiti non è una fase “tightening”, stringente, ma può essere modellata sulle necessità del DevTeam in base alla metodologia di sviluppo utilizzata.
La raccolta di requisiti parte da una analisi profonda delle problematiche di sicurezza. Il Security Risk Assessment (un questionario in cui si valutano le feature una ad una) è un passo fondamentale che aiuta il Program Manager a valutare il livello di rischio delle singole funzionalità.
In questa fase si deve capire come integrare la sicurezza all’interno del processo di sviluppo, identificare gli obiettivi chiave e cercare di massimizzare la sicurezza minimizzando modifiche bloccanti ed invasive al piano d’azione. I piani possono cambiare, ma i requisiti devono avere il giusto peso, ne sottovalutati ne sopravvalutati.
Nel prossimo post vedremo la fase di design 
.