随着安全得到越来越多的关注,一些跟安全相关的理论(比如)脱颖而出,但是这些理论虽然提出来已经有一段时间,却很少看到其在开发团队成功地应用。我们知道微软曾在十多年前就提出了,却没能在业界推广开来,并不是人们不认可微软这种从软件生命周期保障安全的理念,而是出于其落地实施的难度让很多企业知难而退,那么这些安全理论对我们的软件安全真的有帮助吗?安全实践能落地吗?
很幸运地我有机会在一个成熟的敏捷开发交付小组中经历了从完全没有安全实践到BSI的过程,我们也曾遇到过很多困难,但最终得到了客户的认可,并成功把安全实践推广到了整个团队,所以想跟大家分享一下我们是如何将安全在敏捷团队落地的,希望能给大家一些帮助。文中会拿web系统举例,但一些落地的实践同样适用于非Web系统。
结合对一些团队的了解,原因大多数来自以下三个方面:
来源: http://www.infoq.com/cn/articles/let-safe-practices-land-in-the-agile-team