Microsoft, Juniper, andere im Konsortium Problem Programmierungsrichtlinien für sicherer Anwendungen

2013-12-30  |  Comebuy News

Ein Industrie-Konsortium zur Gewährleistung der Sicherheits der Software veröffentlichte Richtlinien, um das Risiko zu verringern, das Sicherheitslücken, die von Angreifern ausgenutzt werden können im fertigen Code landen werden.

Comebuy Verwandte Artikel: SAP designs Anlage für "beweglichem" Anwendung DevelopmentMicrosoft Visual Studio Upgrade Schwerpunkt agile DevelopmentRugged DevOps Wolke: auf der Suche nach der vertretbare InfrastructureMicrosoft berät Sicherheit Software DevelopersSAP größte Business ByDesign Engagement getränkt in Kanada

Insbesondere ist die Software Assurance Forum für Excellence in Code (SAFECode) Adressierung wie Sicherheitslücken zu verhindern, die ihren Weg im Laufe der Agile Software-Entwicklung im Wurm kann.

MEHR: SAP plant Anlage für "beweglichem"-Anwendungsentwicklung Cloud

Beiträge zu: 'Robuste Manifest' fördert sichere Codierung

Agile ist ein Framework für inkrementelle Software-Entwicklung von Teams, die zusammenarbeiten, phasenweise genannt Sprints um die erste Iteration des Code zu entwickeln, dann überprüfen sie regelmäßig, um das Produkt auf der Grundlage von neuen Anforderungen und Eingaben von Benutzern zu verfeinern.

SAFECode's neue Papier, "Praktische Sicherheit Geschichten und Aufgaben für Agile Entwicklung Sicherheitsumgebungen," präsentiert, die Agile teams mit einer Liste der spezifischen Ziele sie eventuell am Anfang zu erreichen versuchen und Aufgaben jeweils erforderliche.

Diese Aufgaben sind raffinierte am Ende jeden Sprint in Vorbereitung für den nächsten, aber setzen sie Agile Teams auf einen Pfad, der zu einem sichereren Endprodukt führt sagt Edward Bonvar, principal senior Software Engineer bei Symantec, das in SAFECode teilnimmt. Die Organisation besteht aus einigen großen Herstellern: Adobe, EMC, Juniper, Microsoft, Nokia, SAP, Siemens und Symantec.

Das Papier legt 36 Tore agilen Teams können während der Arbeit an Softwareprodukten ausüben wollen und eine frühere beste Praktiken Papier geschrieben von der Gruppe ergänzen soll. Diese Ziele werden von den Erfahrungen der Codierung Teams innerhalb SAFECodes Mitglieder als effektive Möglichkeiten zur Agile Programmierung Ansatz entnommen.

Geschichten genannt, werden diese spezifischen Ziele in verständlicher Sprache und aus einer bestimmten Perspektive geschrieben. Beispielsweise liest eine Geschichte: "Ich möchte als ein(e)-Architekt/Entwickler sicherstellen und als [Qualitätssicherung], möchte ich sicherstellen, dass die Cross-Site-scripting-Angriffe verhindert werden."

Die Geschichte wird begleitet durch eine Reihe von Aufgaben zum Erreichen dieses Ziel, jeweils gekennzeichnet mit der Kategorie der Teammitglieder, die für die einzelnen Tasks funktionieren sollte. Eine Aufgabe, verbunden mit der Geschichte im obigen Beispiel richtet sich an Entwickler und Tester und liest: "[D/T] beim Generieren von dynamischen Web-Seiten, filter die Eingabe für Browser ausführbare Inhalte, die nicht (z. B. von Benutzer initiiertes Felder in einer Datenbank) gedacht ist. Betrachten Sie alle Formen der Eingabe von Inhalten, die möglicherweise schließlich vorgestellt und verbraucht durch einen Browser, wie Ereignisse, die außerhalb des Systems generiert Protokollnachrichten, Argumente in einem URL Formularfeldwerte usw.. Führen Sie diese Filterung auf Serverseite, nahe Verwendung."

Je nachdem, wie viel auf dieses Ziel nach der ersten Sprint vollendet wird, verbleibt es als Aufgabe für die nächsten ein oder raffinierte neue Probleme, die auftauchen werden. Die Taskliste soll Agile Teams führen in Richtung erreichen Ziele, die niedriger riskieren werden, Schwachstellen, aber nicht durch eine starre Reihe von Schritten, die möglicherweise nicht für alle Projekte festlegen.

"Mit Sicherheit in Agile eine Herausforderung für SAFECode Mitgliedsunternehmen, war", sagt Bonvar. "sie teilen ihre Erfahrungen, was sie hatten beschlossen Erfolg zu tun."

Lesen Sie mehr über WAN-Verbindung in Network World Wide Area Network Abschnitt.

« Back