TechEd: Security Development Lifecycle à la Agile
Microsoft überarbeitet den durch das Unternehmen präferierten Security Development Lifecycle unter Einbezugnahme agiler Softwareentwicklungs-Prozesse.
- Alexander Neumann
Microsoft hat auf seiner Hausmesse TechEd, die diese Woche in Berlin tagt, die agile Softwareentwicklung berührende Richtlinien für den von Microsoft präferierten Security Development Lifecycle (SDL) vorgestellt. Microsoft reagiert mit den Guidelines auf die Tatsache, dass ein Großteil der Softwareentwicklung unter Berücksichtigung agiler Prozesse vonstatten geht.
So zitieren die Redmonder die Forrester-Research-Studie "From Agile Development To Agile Engagement" von Mai 2009, nach der 85 Prozent der befragten IT-Profis mit agilen Methoden ihre Projekte umsetzen. Microsofts Umsetzung des Security Development Lifecycle bot bislang keinen Support für agile Entwicklungsprinzipien an.
Microsofts 2002 gestarteter SDL lässt sich einem Artikel auf heise Developer zufolge als umfassender, reifer und detaillierter Ansatz zur konsequenten Verbesserung der Softwaresicherheit werten. Jedes Programm ist bei Microsoft SDL-konform zu entwickeln. Windows Vista war das erste Produkt, das die Firma von Beginn an so programmiert hatte.
Microsofts agile SDL-Ausrichtung unterteilt sich in drei Anforderungen, erstens in einmal zu prüfende Aufgaben, zweitens in Aufgaben, die mit jedem Sprint (in einer kurzen Iteration) durchgeführt werden müssen, und drittens in sogenannte Bucket-Tasks, die nicht mit jeder Sprint-Phase angegangen werden müssen, sondern periodisch in größeren Zeitabständen abzuwickeln sind. Um in die bestehenden agilen Methoden integrierbar zu sein, wurde der SDL for Agile Development so entwickelt, dass er einfach und individuell anpassbar sein soll.
Siehe dazu auch:
- Königsweg à la Redmond: Sichere Softwareentwicklung nach dem "Security by Design"-Prinzip
- Gedanken zur Sprache in Scrum
(ane)
