敏捷开发中需要遵守的10条安全原则

竞争激烈的商业环境让各个组织不得不加快创新的速度，以保障自身在竞争中的优势，因此，有超过80%以上的组织采用了敏捷开发。然而，由于软件生命周期具备一定的风险，很多威胁行为者发现了敏捷开发中的漏洞，对企业的软件开发过程带来了威胁。对此，ISF提出了10项原则。在企业应用敏捷开发时，能够最大程度保障安全。

负责指导敏捷开发项目的高级领导人必须明确定义对安全活动负责的角色和相关职责。这包括建立正式和非正式的报告渠道以及如上报协议、强制性会议和向安全团队报告项目状态等项目管理行动。明确职责和负责人有助于企业将安全嵌入敏捷应用程序开发的过程中，同时促进业务IT和安全团队对之间的沟通、问责制和建设性关系。

网络安全是一项团队行动。每个开发人员都需要发挥自己的作用，确保代码没有安全漏洞。开发人员往往缺乏对安全问题的知识和理解，他们倾向于将软件交付的重要性置于安全问题之上。为了增强开发人员的安全意识和能力，组织必须投入资源对其进行培训、指导和技能提升。这包括安全培训和安全意识的结合、高级开发人员的指导、敏捷开发安全培训活动，以及如OWASP、CWE、BSIMM（构建成熟度安全模型）、SAFECode和CERT等对免费资源的访问。

从应用开发的一开始就嵌入安全，会比应用开发完成后再考虑安全的成本更低，效率更高。因此，企业管理层必须建立有助于在整个开发生命周期中管理信息安全风险的流程。这包括从安全角度制定高级应用程序架构；确定“最安全”的应用程序和功能列表；制定业务影响评估；在早期阶段进行信息安全风险和漏洞评估以及报告新风险的流程。

此外，企业管理层还应该对信息安全风险较多的人或环节提供包括定义审查风险的流程以及确定如何做出风险管理决策的指导。

使用开发人员的语言（用户故事、软件需求规范、故事映射、线框、用户画像和用例）来阐明安全需求，以便开发人员能够更好地理解、定义和实现安全规范。这可以使安全需求能够被视为产品积压工作中的功能需求，将它们转化为任务，并将它们纳入需求管理工具以及纳入项目的生产力指标。

定期进行威胁建模，以了解应用程序的上下文安全。威胁建模可以发现软件设计中不安全的地方，并通过识别、分析威胁来确定其优先级。此外，威胁建模还可以发现用于攻击应用程序的最常见技术和方法（欺骗、篡改、拒绝服务、提权等），确定哪些威胁需要额外的安全测试。最重要的是，威胁建模可以帮助制定策略和解决方案来主动缓解各种威胁。

要求开发人员利用已建立的安全编程技术，如配对编程、重构、持续改进/持续开发（CI/CD）、同行评审、安全迭代和测试驱动开发。这可以提高应用程序代码的非功能性，并有助于消除存在安全漏洞的编程缺陷。

安全编程技术也有助于指导在缺乏安全方法和经验的开发人员，促进人工智能或低、无代码等新技术的应用，开发复杂的应用程序以及集成第三方应用程序和满足合规要求。

让独立或外部的审查人员执行静态代码分析（审查源代码以分析应用程序代码中的错误、bug和漏洞）和动态分析（检查运营过程中的应用程序行为以识别异常或意外行为）。这为利益相关者提供了保障，即应用程序满足安全要求，并且不包含任何安全漏洞。

对于安全团队来说，手动测试和评估敏捷开发是不可能完成的任务。因此，采用自动化的手段来辅助人力完成一些工作是必要的。例如，可以通过自动化手段来持续检查应用程序代码的安全性是否存在缺陷和漏洞，确保安全相关任务一致性和条理性。此外，安全人员还可以利用自动化来分析安全事件，减轻安全团队和开发人员负担。而对于逻辑错误，则必须要利用人力审查。

在应用验收中考虑安全性，以确认对应用程序代码进行了包括独立审查、安全测试以及应用程序中包含的代码部分是可维护的、可跟踪的，来源是经过验证的、信誉良好的等等。此外，在安全验收的过程中还可以确定迭代积压工作是否得到满足，包括安全漏洞在内的所有缺陷是否得到解决以及任何可能影响安全的设计变更是否得到识别和批准。

这有助于减少技术债务，为利益相关者提供保障，并在交付应用程序代码之前验证是否已完全满足安全要求。

敏捷开发项目通常包括对安全性能的有限评估。这使得组织很难确定其应用程序的安全性是否满足业务需求。因此，组织要根据一组协定的KPI来监控和评估适当的安全度量。KPI可以包括安全漏洞的类型、数量和严重程度、独立审查的结果、安全策略的批准和未批准比值、没有安全漏洞的时间长度以及其他缺陷消除指标。

如果您组织应用了敏捷开发，那么就一定要关注到信息安全。这就是为什么建议所有组织遵循上述安全原则和最佳实践。企业安全取决于各方（开发人员、项目经理、执行团队等）之间的协作。如果安全流程能够像编码一样快速迭代和改进，无论是对应用安全还是其他企业安全都会带来非常大的改善。