Поделиться через


SDL - теперь для облака и быстрой разработки

sdl-shield-thumb-120

При всё возрастающем количестве бизнес-клиентов, выбирающих для вычислительной среды между клиентом, облаком или обоими одновременно, руководство по безопасности должно быть динамичным и развиваться. Поскольку безопасность и приватность являются ключевыми проблемами, влияющими на выбор вычислительной среды, производители имеют возможность убедить клиента в том, что веб-приложения, работающие в облаке, могут функционировать в безопасно и надежно.

Microsoft предпринял ряд шагов для того, чтобы сделать доступными лучшие наработки в области безопасности широкому кругу разработчиков. Сюда вошли руководство, модель оптимизации SDL, а также Средство моделирования угроз. Всё перечисленное выше, плюс последующие выпуски SDL, инструментов, руководств и технологий позволит разработчикам программного обеспечения и партнерам-производителям обеспечить требуемый уровень безопасности в их приложениях, а также своим пользователям более надежную вычислительную среду.

Недавно на конференции в Берлине, Германия, Microsoft анонсировал два новых документа SDL

Рассмотрение вопросов безопасности для клиентских и облачных приложений (EN). Загрузите доклад команды SDL, в котором обсуждаются вопросы, касающиеся клиентских и облачных приложений, а также шаги, предпринимаемые компанией Microsoft для развития SDL при решении вопросов безопасности.

SDL 4.1a, расширенная версия, включающая процесс быстрой разработки (EN). Загрузите последнее руководство по SDL, включающее главу SDL для быстрой разработки, четкий подход, объединяющий быстрые методы и безопасность. Полное и, кроме того, гибкое руководство SDL для быстрой разработки включает в себя все требования SDL, предоставляя дополнительно руководство по их применению для очень коротких реализ циклов.

Давайте коротко остановимся на каждом из них.

Рассмотрение вопросов безопасности для клиентских и облачных приложений

В то время как производители вычислительной техники обсуждают облако как вычислительную среду, клиенты обеспокоены тем, каким образом будет обеспечена безопасность информации. По итогам проведенного в сентябре 2009 года онлайн опроса IT Pro’s около 51% опрошенных поставили безопасность и сохранность информации в качестве основной преграды для принятии решения об использовании облака.

При рассмотрение вопросов безопасности для клиентских и облачных приложений (EN) Microsoft рассматривает безопасность с точки зрения организации, которая может рассматировать размещение своих приложений в облаке.

security-cloud-stack

Если вы собираетесь хранить ваше приложение в облаке, на высоком уровне, вы должны задаваться вопросами, касающимися двух основных вопросов безопасности:

· Требования и соответствия безопасности. Если у вас имеются требования, что должен сделать провайдер для того, чтобы обеспечить требуемый уровень безопасности вашего ПО при хранении в облаке? Что он сделал для обеспечения этих требований?

· Возможности и уровень безопасности сервисов. Разные провайдеры могут предлагать различные возможности безопасности (например, поддерживающие конкретные типы идентификации), а также различные уровни сервис безопасности в своих SLA. Ознакомьтесь с деталями с тем, чтобы точно знать, какие конкретно услуги, они предоставят вам с точки перспектив безопасности.

Несомненно, разработка программного обеспечение для облака так и для клиентской части нуждается в структурированном процессе разработки с точки зрения безопасности, таком как SDL. Поэтому, убедитесь, что для своих приложений вы используете такой структурированный процесс разработки безопасности, как SDL.

SDL для быстрой разработки

Вы не одиноки, если пользуетесь процессом быстрой разработки. Методы быстрой разработки всё чаще и чаще выбираются производителями по всему миру. Согласно независимому докладу Forrester, 85% профессионалов в области промышленных технологий либо только что выбрали, либо в процессе принятия решения или уже применяют методы быстрой разработки.

Внимание: Если вы ещё не знакомы с быстрой разработкой и хотели бы узнать больше, вы можете прочитать о ней на https://www.agilemanifesto.org. Wikipedia определяет её как:

Быстрая разработка программного обеспечения относится к группе методологий разработки программного обеспечения, основанных на итеративной разработке, где требования и решения раскручиваются через сотрудничество между самоорганизующимися крос-функциональными командами. Термин был установлен в 2001 году при составлении Agile Manifesto.

Также примечательно, ранние методы Быстрой Разработки включают: Scrum (1995), Crystal Clear, Extreme Programming (1996), Adaptive Software Development, Feature Driven Development, и Dynamic Systems Development Method (DSDM) (1995). После опубликования в 2001 году Agile Manifesto они стали относиться к Быстрым Методологиям.

В своем блоге по SDL Брайен Салливан даёт прекрасное описание подхода команды к задаче применения SDL требований и процессов, преобразовывая руководство в пригодную для быстрой разработки структуру, которая может быть гибко применена как к длительным, так и коротким проектам быстрой разработки. Вот короткий обзор его поста.

При взгляде на жизненный цикл разработки безопасности SDL и описании его по фазам, вы видите, что изначально он был разработан для интеграции в процесс спиральной разработки продукта, использованного Microsoft для разработки Windows и других бизнес продуктов. Хотя между спиральными методами и методами быстрой разработки существует много различий, основными для меня являются:

· Методы быстрой разработки не имеют четких фаз

· Релизы быстрой разработки обычно намного короче, в некоторых случаях только на одну или две недели

sdl-agile-transparent

Ввиду данных различий, SDL для быстрой разработки делит SDL (по требованиям) на три категории: требование для каждого быстрого шага, требования настолько важны, что они должны быть завершены при каждом повторении; единовременные требования, требования, которые должны быть завершены один раз за время всего проекта независимо от длительности проекта; и bucket требования, требования, которые необходимо регулярно завершать, но они не настолько важны, чтобы делать это при каждом повторении.

Моделирование угрозы является прекрасным примером: команда может в течение всей недели создавать модель угрозы, но это необязательно будет наиболее рациональным использованием своего времени. SDL для быстрой разработки дает представление о том, каким образом команда может потратить соответствующий отрезок времени, моделирую новые возможности, а также каким образом построить базовую модель под существующую функциональность.

Для получения полного руководства по SDL для быстрой разработки загрузите SDL 4.1a, расширенная версия, включающая процесс Быстрой Разработки (EN) и прочтите новые разделы, касающиеся быстрой разработки.

Заключительные замечания

По мере развития производства вычислительной техники , Microsoft продолжает инвестировать в основы безопасности и приватности, предлагая разработке, лучшие документы и технологии, как для клиентских, так и для облачных приложений. Выпуск SDL для быстрой разработки, а также доклада по безопасности для приложений в облаке подтверждают тот факт, что Microsoft делает всё возможное для того, чтобы идти в ногу со временем, и в конечном итоге сможет создать ещё более надёжную онлайн безопасность.