Security Development Lifecycle: Verification Phase | Home | Visual Studio 2010 Feature Pack 2: Coded UI Test editor
Security Development Lifecycle: the Release Phase

Ebbene si, alla fine ci si arriva: il rilascio!

Ovviamente quello che indicherò a breve vale per tutti i rilasci: Alpha, Beta, CTP, etc.

Si parte dalla parte di Planning, in cui si analizzano tutte le varie implicazioni legate alla privacy dei dati (come anche nelle fasi precedenti) e si compila il SDL Privacy Questionnarie.

Anche qui la comunicazione riveste un ruolo chiave: il Security Advisor deve avere un dialogo con il team di sviluppo su alcuni punti che potrebbero essere fonte di problemi in futuro, e si deve avere una chiara guida di deploy ben documentata.
Comprende questo anche una review a livello di implicazioni legali.
In questo momento si può anche preparare una lista di FAQ dei problemi più comuni che il team di supporto dovrà ris0lvere.

Per quanto riguarda invece la parte tecnica, ovviamente si deve disabilitare qualunque tipo di tracing/debugging, e soprattutto si deve creare un Emergency Response Plan per quanto riguarda la reazione e la risoluzione di possibili problematiche.
Nell’ERP si deve definire uno schedule di patching a seguito di situazioni di attacco che sia scollegato da eventuali Service Pack, in modo da essere il più pronti possibile in caso di grosse vulnerabilità (ricordiamo che in SDL comunicazione, training e planning rappresentano una grossa fetta del tempo speso).

Infine si può passare alla Final Security Review.
Si deve rivedere tutto il processo di sviluppo, i vari threat model che potrebbero essere applicati, validare i risultati dei tool automatici legati alla sicurezza, controllare i possibili problemi di sicurezza che sono stati rimandati o rigettati per la release attuale.
Si deve essere in grado di rimuovere le vulnerabilità dai prodotti, in sostanza. Se ci sono eccezioni vanno sottoposte al Security Advisor per una ulteriore analisi.

Il risultato finale può essere:

  • Superata
  • Superata con eccezioni (le eccezioni vanno riviste e pianificate)
  • Escalation

Le prime due si commentano da sole, mentre l’ultima rappresenta un fallimento.
In SDL non è possibile raggiungere compromessi, quindi se il risultato è “Escalation”, la FSR fallisce ed il software non viene rilasciato ma rimandato al team di sviluppo per correzioni. Period.

In questo modo abbiamo affrontato anche l’ultima sezione di SDL Smile

posted on domenica 31 ottobre 2010 23:41 | Print
Comments have been closed on this topic.