无法建立安全连接

无法建立安全连接

安全开发生命周期 （SDL）中的重要事情之一是将有关漏洞的信息反馈给开发人员。

这篇文章将该实践与没有错误的敏捷实践相关。

安全事件响应

即使我们努力在没有安全漏洞的情况下发布软件，我们也无法100％成功。

当报告事件（希望负责 ）时，我们将执行我们的安全响应计划。 我们必须小心解决此问题，不要引入新问题。

接下来，我们还应该寻找与所报告问题类似的问题。 在应用程序的其他部分出现与所报告的类似的问题的可能性不大。 我们应该在同一安全更新中查找并修复这些问题。

最后，我们应该进行根本原因分析，以确定为什么这种弱点首先会从裂缝中溜走。 有了这些知识，我们就可以调整流程，以确保将来不会发生类似的问题。

从安全到质量

上面概述的过程非常适合使我们的软件更加安全。

但是安全弱点本质上只是bug 。 安全问题可能比常规错误带来更严重的后果，但是一旦部署了软件 ，大多数常规错误的修复成本也很高 。

因此，以相同的方式对待所有错误（无论是安全性还是其他方式）实际上都是有意义的。

俗话说，一盎司预防胜于一磅治疗。 正如我们需要建立安全性一样 ，我们也需要建立一般的质量 。

使用敏捷方法的建筑质量

敏捷和精益社区早就知道了这一点。 例如，詹姆斯·肖尔（ James Shore ）在他的优秀著作《敏捷开发的艺术》中 写道 ，伊丽莎白·亨德里克森（Elisabeth Hendrickson）认为应该只包含很少的错误，无需进行分类 。

有些人反对“零缺陷”心态，声称这是不现实的。

但是，有明确的证据表明敏捷开发团队的缺陷率要低得多。 许多精益实现还报告了他们在追求零缺陷方面取得的成功。

因此，至少有传闻证据表明，可以显着减少缺陷。

当然，这将需要更改。 测试人员需要改变 ， 开发 人员也需要改变 。 然后，团队中的每个人都需要说相同的语言 ， 并作为一个团队一起工作，而不是孤岛。

如果我们做得好，我们将成为除虫剂，以真正有效的软件使客户满意。

参考： 安全软件开发博客中的JCG合作伙伴 Remon Sinnema提出了建立安全性和质量的要求 。

翻译自: https://www.javacodegeeks.com/2012/10/building-both-security-and-quality-in.html

无法建立安全连接