正确的物流安全技术问题
Posted: Thu Jan 30, 2025 6:46 am
如果没有安全上下文,几乎不可能做出设计决策。请求是否已经经过身份验证和授权存在很大差异。组件是否可以在攻击面上找到或者是否是无法直接访问的库也同样重要。
在典型的瀑布项目中,设计决策将在架构阶段做出,即以更集中和全面的方式做出。有趣的是,这在某种程度上也适用于敏捷世界。在某一时刻,当设计在一定程度上稳定下来时,您可以进行经典的威胁建模研讨会,然后将发现的威胁规划为积压项目。或者,您也可以在创建或实现相应的用户故事时考虑安全性 - 基本上是在相应的活动时。
无论您选择哪种方法,在这两种情况下都必须确保具有适当专业知识的员工在现场并提供支持。
每个人都应该对安全性有一定的基本了解——无论他们是架构师 商业房地产的潜在客户 还是开发人员。另一方面,安全是一个非常具体的主题领域,由相关专家负责。
说实话,我坚信,你离不开相关专家。将必要的知识和经验完全融入流程、指南或工具中并不容易。此外,除了已经非常广泛的任务之外,不能指望开发人员展示安全专业知识。
这样做的结果是每个项目都需要一名现场安全专家。您可能知道,这通常是不可能的,尤其是对于较小的项目。但我认为肯定有一个明智的替代方案,而不必抛弃敏捷宣言。基于项目中并非始终需要安全眼镜的假设,相关专家可以暂时参与,具体取决于他们的可用性 - 例如在评估扫描结果或进行威胁分析时。毕竟,它还涉及功能、可用性、性能等许多方面。为了支持这一点,您可以任命“安全冠军”——即将安全作为其任务一部分的员工。这样至少可以保证项目中始终有对这个主题有一定亲和力的人。
对安全专家的请求
无论它是分散在许多冲刺讨论中还是集中在一些研讨会或代码扫描运行中:在任何情况下都需要安全专业知识。正如我所说,在做出相关决策时,这些专业知识应该在现场。
理想情况下,项目团队拥有一名持续可用的安全专家。然而,这并不总是可行的,甚至是明智的。由项目中临时可用的安全专家组成的模型所描述的模型可以在集中的安全知识和敏捷方法之间形成良好的折衷。
您想了解更多关于 adesso 世界中令人兴奋的话题吗?那么请看一下我们之前发布的博客文章。
在典型的瀑布项目中,设计决策将在架构阶段做出,即以更集中和全面的方式做出。有趣的是,这在某种程度上也适用于敏捷世界。在某一时刻,当设计在一定程度上稳定下来时,您可以进行经典的威胁建模研讨会,然后将发现的威胁规划为积压项目。或者,您也可以在创建或实现相应的用户故事时考虑安全性 - 基本上是在相应的活动时。
无论您选择哪种方法,在这两种情况下都必须确保具有适当专业知识的员工在现场并提供支持。
每个人都应该对安全性有一定的基本了解——无论他们是架构师 商业房地产的潜在客户 还是开发人员。另一方面,安全是一个非常具体的主题领域,由相关专家负责。
说实话,我坚信,你离不开相关专家。将必要的知识和经验完全融入流程、指南或工具中并不容易。此外,除了已经非常广泛的任务之外,不能指望开发人员展示安全专业知识。
这样做的结果是每个项目都需要一名现场安全专家。您可能知道,这通常是不可能的,尤其是对于较小的项目。但我认为肯定有一个明智的替代方案,而不必抛弃敏捷宣言。基于项目中并非始终需要安全眼镜的假设,相关专家可以暂时参与,具体取决于他们的可用性 - 例如在评估扫描结果或进行威胁分析时。毕竟,它还涉及功能、可用性、性能等许多方面。为了支持这一点,您可以任命“安全冠军”——即将安全作为其任务一部分的员工。这样至少可以保证项目中始终有对这个主题有一定亲和力的人。
对安全专家的请求
无论它是分散在许多冲刺讨论中还是集中在一些研讨会或代码扫描运行中:在任何情况下都需要安全专业知识。正如我所说,在做出相关决策时,这些专业知识应该在现场。
理想情况下,项目团队拥有一名持续可用的安全专家。然而,这并不总是可行的,甚至是明智的。由项目中临时可用的安全专家组成的模型所描述的模型可以在集中的安全知识和敏捷方法之间形成良好的折衷。
您想了解更多关于 adesso 世界中令人兴奋的话题吗?那么请看一下我们之前发布的博客文章。