Web安全系列选题之 敏捷开发需事先内置

核心提示： 获得汲取的教训是指收集、记录及分析迭代开发期间所收到反馈的过程，这项工作很关键，Web安全系列选题之 敏捷开发需事先内置(4)，那样随后的迭代开发周期就能从中获益，这项工作很关键的理由还在于，软件漏洞是最主要的根源之一，这应该向从事应用程序开发的每个人敲响了警钟，获得安全方面汲取的教训让团

获得汲取的教训是指收集、记录及分析迭代开发期间所收到反馈的过程。这项工作很关键，那样随后的迭代开发周期就能从中获益。

这项工作很关键的理由还在于，获得安全方面汲取的教训让团队成员有机会反省迭代开发周期过程中导致安全缺陷的任务、事件和活动。另外，获得汲取的教训需要回过头去分析一下风险管理工具，并记录优点和不足。

迄今为止开发出来的所有软件必须整合起来加以验证。一旦完成了这项工作，就必须加以验证，以确保功能正常。短期内还需要监测及跟踪，确保所有软件和系统组件能协同顺畅运行，没有带来安全漏洞。要站在安全的角度，测试系统之间的相互关系。必须在这个步骤创建及运用新的安全测试场景。

此外，如前所述，测试和代码审查方面必须加大关注力度，尤其要注意跨站脚本、信息泄漏和SQL注入攻击。一旦各方面可以协同顺畅运行、而且安全，就可以准备发布到生产环境了。软件发布管理（RM）是所有软件开发方法和项目当中比较新的一部分。RM充当所有业务部门和IT部门之间的连接纽带，可以保障顺利过渡至新系统。

最后，是时候进入到下一个迭代开发周期了。收尾步骤表明某个迭代开发周期正式收工。另外，这个步骤带来了项目工件（artifact），确保为代码编写了相应文档，并对代码作了备份和归档。这一步常常需要改变公司所部署的安全监控流程和功能。

安全行业把可怕事件频发的2008年称为“数据丢失年”，这是由于这一年发生了多起敏感信息安全泄密事件。美国国家情报总监Dennis C. Blair在国会听证会中声称，去年全球各地的众多公司因数据窃取而丢失的知识产权价值超过1万亿美元。

软件漏洞是最主要的根源之一。这应该向从事应用程序开发的每个人敲响了警钟，不管他采用什么方法来开发；这还向敏捷开发项目发出了预警信号：它们需要确保事先加入而不是事后扩充了合理的安全功能。