Actuellement, la grande mode dans le monde du développement c'est de dire que tout est fait en mode cycle Agile (RAD, Extreme Programming, SCRUM, ...) plutôt qu'en bon vieux cycle en V (j'ai jamais dit que c'etait mieux....)
L'avantage évoqué par beaucoup d'architectes/CDP, de l'utilisation de ces méthodes est de pouvoir répondre plus vite au besoin , de corriger vite et de produire donc plus rapidement des choses qui tiennent la route.
Et bien sur, de faire plus facilement l'impasse sur la sécurité ! Et bien, oui, déja que dans les cycles itératifs classiques on oublie les taches sécurité, en méthode agile on a tendance a entendre :
1/ On va trop vite et on y pense pas
2/ On sait pas comment s'y prendre, les différentes méthodes de développement sécurisé classiques ne sont pas adaptés (facile cette dernière....).
3/ On a pas les compétences,
4/ On s'en fout,
....
Bref, passons toutes ces excuses, pour n'en retenir qu'une seule, la numéro 2 . Et bien Messieurs (et Dames si il y en a ici), sur cette excuse, vous avez tout faux !
Il existe donc (au moins ces deux la) Microsoft SDL for Agile !
et surtout a mon sens l'excellent document du SAFECODE : Practial Security Stories and Security Tasks for Agile Developement Environnements.
J'aime bien cette dernière approche du SAFECODE qui est assez détaillée et technique pour permettre une implémentation dans un projet de manière assez simple, tout en ayant des métriques et des directives très simples pour les différentes populations.
Aucun commentaire:
Enregistrer un commentaire