یونیکس کاملا کاربرپسند است. البته، کاربرانی که میپسندد خودش انتخاب میکند! - آندریاس بوک (Andreas Bogk)
خود بشر هنوز شگفتانگیزترین کامیپوتر است. - جان اف کندی (John F. Kennedy)
یکی از محسنات داشتن کامپیوتر این است که اگر کار را خراب کند، هیچ قانونی نیست که شما را از ضرب و شتم آن منع کند. - اریک پورترفیلد (Eric Porterfield)
ریبوت کردن کامپیوتر داروی شگفتانگیزی است؛ تقریبا هر دردی را درمان میکند. - گارت هیزل (Garrett Hazel)
ای کاش زندگی Ctrl+Z داشت! - ناشناس
ارتباط دایم با کامپیوتر، ریاضیدانها را به یک تایپیست ساده تبدیل میکند و برعکس! - آلن پرلیس (Alan Perlis)
کامپیوترهای آینده بیش از یک و نیم تن وزن نخواهند داشت. - مجله ماشینهای محبوب 1949 (Popular Machines)
کامپیوترم مرا در شطرنج شکست داد، ولی در مشت و لگد حریفم نشد! - اوم فیلیپس
این که کامپیوترها روزی مثل انسان فکر کنند خطرناک نیست، بلکه خطر در این است که بشر مثل کامپیوتر فکر کند! - سیدنی هریس (Sydney J. Harris)
تعیین محدودیتهای «ممکن» فقط با رفتن به آن سوی «ناممکن» میسر میشود. - آرتور سی. کلارک (Arthur C. Clarke)
دوشنبه, 04 مرداد 1389 ساعت 16:27
دیوید ورثینگتون (David Worthington)
مترجم: سهراب آروین
مایکروسافت اعلام کرد که «چرخه حیات امنیت تولید» (Security Development Lifecycle - SDL) خود را با رویکرد «چابک» تطابق خواهد داد. اما باور خبرگان بر آن است که این کار گفتنش سادهتر از عمل کردن به آن است.
SDL یک فرآیند اجباری داخلی تست امنیت در تولید محصولات مایکروسافت است و این شرکت از سال گذشته شروع کرده است به این که با مشتریان را نیز در این محصولات مشارکت دهد. دیوید لد (David Ladd) مدیر ارشد امنیت نرمافزار در تیم SDL مایکروسافت میگوید: «چرخه حیات امنیت تولید سنتی این شرکت با رویکرد چابک (Agile) سازگار نیست. در واقع فاز مشخصی برای لحاظ امنیت در رویکرد چابک وجود ندارد و چرخههای کوتاه متدولوژیهای چابک در رعایت امنیت نرمافزار مشکل ایجاد میکنند.». بدین لحاظ مایکروسافت بهشدت تلاش میکند که با حفظ سختگیری SDL، آن را چنان دوباره سازماندهی کند که با sprintهای کوتاه سازگار شود، ضمن اینکه نیازمندیهای گاهوبیگاهی مانند ایجاد یک برنامهِ واکنش به حوادث امنیتی که میتواند تا پنج sprint طول بکشد را نیز در بر بگیرد. گفتنی است که sprint اصطلاحی است که در متدولوژی Scrum به کار میرود و به گامهای کوتاهی اطلاق میشود که کوتاهترین دوره زمانی مورد نیاز تیم تولید، برای ارایه نرمافزار قابل استفاده را تعیین میکند.
با ترکیب دیدگاه سنتی SDL و اصول متدولوژی چابک Scrum یک فرآیند دورگه به وجود میآید. ایده پشت این ترکیب که در اساس از تولید نرمافزارهای وبمحور و خدمات برخط گرفته شده، این بوده است که در سازگار کردن رویکرد چابک با پروژههای بزرگ و حیاتی نیاز به رویکردهایی دورگه است که از مزایای هر دو دیدگاه برخوردار باشد. مایکروسافت با درک انعطاف بالای رویکردهای چابک، SDL جدید را تا حد ممکن قابل فهم و سفارش پذیر کرده است.
البته به باور برخی از تحلیلگران کنترل رعایت امنیت در نرمافزار باید بیرون از چرخه چابک و در گامی جداگانه قرار بگیرد. حتی از نظر فردی چون «رکس بلک» (Rex Black) به عنوان یک کارشناس تست نرمافزار، چفت شدن SDL در فرآیندهای تولید چابکِ دنیای واقعی نیز کمی محل تردید است. به باور وی فرهنگ تولید چابک در برابر مستندسازی مقاوم است و بیشتر سازمانها در پیادهسازی متدولوژیهای چابک به صورت یک بسته آماده دچار مشکل میشوند و دیدگاه دورگه جدید مایکروسافت نیز احتمالا باعث نفاق بیشتر خواهد شد.
از دیگر مشکلاتی که این شیوه به وجود خواهد آورد سازوکار جدا کردن تستهای امنیت به دو بخش چابک و سنتی است. چرا که قاعدتا تست امنیت پس از آن که تعریف شد و در اختیار تیم چابک قرار گرفت، باید به کار سادهای تبدیل شود؛ در صورتی که نیاز به تفکیک انواع مختلف تست باعث افزایش پیچیدگی این فرآیند خواهد شد. اما اگر این کار به دقت انجام شود، تستهای مخاطرهمحور (خواه در زمره مخاطرات کیفی کلان، خواه در اندازه کوچک و محدود به امنیت دسترسی و محرمانگی) کاملا با اصول چابک سازگار خواهد شد. با این حال به دلیل همین سختی تفکیک، به احتمال زیاد پذیرش این رویکرد در سازمانها با دشواری همراه خواهد بود.
با ترکیب دیدگاه سنتی SDL و اصول متدولوژی چابک Scrum یک فرآیند دورگه به وجود میآید. ایده پشت این ترکیب که در اساس از تولید نرمافزارهای وبمحور و خدمات برخط گرفته شده، این بوده است که در سازگار کردن رویکرد چابک با پروژههای بزرگ و حیاتی نیاز به رویکردهایی دورگه است که از مزایای هر دو دیدگاه برخوردار باشد. مایکروسافت با درک انعطاف بالای رویکردهای چابک، SDL جدید را تا حد ممکن قابل فهم و سفارش پذیر کرده است.
البته به باور برخی از تحلیلگران کنترل رعایت امنیت در نرمافزار باید بیرون از چرخه چابک و در گامی جداگانه قرار بگیرد. حتی از نظر فردی چون «رکس بلک» (Rex Black) به عنوان یک کارشناس تست نرمافزار، چفت شدن SDL در فرآیندهای تولید چابکِ دنیای واقعی نیز کمی محل تردید است. به باور وی فرهنگ تولید چابک در برابر مستندسازی مقاوم است و بیشتر سازمانها در پیادهسازی متدولوژیهای چابک به صورت یک بسته آماده دچار مشکل میشوند و دیدگاه دورگه جدید مایکروسافت نیز احتمالا باعث نفاق بیشتر خواهد شد.
از دیگر مشکلاتی که این شیوه به وجود خواهد آورد سازوکار جدا کردن تستهای امنیت به دو بخش چابک و سنتی است. چرا که قاعدتا تست امنیت پس از آن که تعریف شد و در اختیار تیم چابک قرار گرفت، باید به کار سادهای تبدیل شود؛ در صورتی که نیاز به تفکیک انواع مختلف تست باعث افزایش پیچیدگی این فرآیند خواهد شد. اما اگر این کار به دقت انجام شود، تستهای مخاطرهمحور (خواه در زمره مخاطرات کیفی کلان، خواه در اندازه کوچک و محدود به امنیت دسترسی و محرمانگی) کاملا با اصول چابک سازگار خواهد شد. با این حال به دلیل همین سختی تفکیک، به احتمال زیاد پذیرش این رویکرد در سازمانها با دشواری همراه خواهد بود.
| < قبلی | بعدی > |
|---|
کلیه حقوق مادی و معنوی نزد وب سایت ماهنامه فناوری دانش محفوظ میباشد.
توسعه و پشتیبانی توسط گروه وب گستر آریا