Microsoft a publié ce mardi un ensemble de recommandations de sécurité pour les développeurs Web et pour ceux qui utilisent les méthodes Agiles.
Ces recommandations appliqueront les Microsoft's Security Development Lifecycle (SDL) maisons à la méthode Agile qui pour mémoire et vulgairement décompose les tâches en cycles courts de développement appelés "sprints".
Historiquement, Microsoft a adopté le SDL en 2002. A cette époque plusieurs attaques de vers ont mis à mal la sécurité des produits de la société de Redmond. Le besoin s'est donc fait ressentir d'inventer une nouvelle forme d'organisation permettant une développement de code plus sécurisé.
Mais le SDL était en contradiction avec les méthodes Agiles.
Le Manifeste Agile précise que les développeurs ont un laps de temps imparti pour réaliser une fonctionnalité donnée. Après quoi celle-ci doit être livrable au client pour qu'il la teste et donne son avis.
Or le SDL s'appliquait – et s'applique toujours – à des produits qui ne sont pas "itératifs" dans le sens où il n'y a pas de nouvelle version du produit qui n'ajoute qu'une ou deux fonctionnalités. C'est ce que note en substance Bryan Sullivan, le responsable du programme de sécurité de Microsoft, concernant par exemple les OS.
Il a donc fallu modifier ces méthodes pour qu'elles puissent fonctionner ensemble.
Microsoft a donc décliné le SDL en trois exigences : celles qui sont réalisées une fois pour toute, celles qui auront besoin d'être réalisées à chaque sprint et celle qui ont besoin de l'être périodiquement mais pas nécessairement à chaque sprint.
Par ailleurs, la firme de Redmond travaille également sur un "white paper" sur la sécurité des applications en-lignes. Leur démocratisation et leur complexité grandissante provoque des échanges de données de plus en plus importants, renforçant ainsi les impératifs de sécurité.
Les méthodes Agiles sont utilisées par 85 % des entreprises IT selon une étude de Forrester.
Il aurait été étrangé que Microsoft manque à l'appel.
Son Agile Guidelines est disponible ici. Et son "white paper", là.
Lire aussi :
Etes vous Scrum ou eXtreme Programming ? Le débat fait rage dans la communauté Agile
Les rubriques Conception et Sécurité(actu, forums, faq) de Développez.com
Et celle de Microsoft .NET
Et vous ? :
Trouvez-vous ces recommandations et ce "paper" intéressants et instructifs ou au contraire complètement inutiles ?
Méthodes Agiles : Microsoft publie un guide de recommandations
Pour les développeurs, le "SDL Process Guidance"
Méthodes Agiles : Microsoft publie un guide de recommandations
Pour les développeurs, le "SDL Process Guidance"
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !