Lavoro come responsabile del team di sicurezza IT in cui lavoro. Una parte importante delle mie mansioni lavorative è condurre la scansione, la gestione e la convalida della riparazione delle vulnerabilità. Interagisco spesso con altri team, con una notevole quantità di interazione con i team di sviluppo e QA.
Ieri stavo lavorando insieme al nostro team QA per convalidare i requisiti aziendali prima che le modifiche alle applicazioni fossero rilasciate nel nostro ambiente di produzione. Uno dei requisiti di sicurezza è che determinati controlli di sicurezza siano implementati nel codice per mitigare una serie di vulnerabilità di base (si pensi ad esempio a OWASP Top 10), ma poiché la sicurezza non è stata coinvolta abbastanza presto nella fase di raccolta dei requisiti / progettazione della storia prima dello sviluppo, questo requisito non era chiaramente compreso nella user story .
Attraverso i risultati dei test di strumenti come SonarQube e Burp Suite, i requisiti di sicurezza non venivano soddisfatti. Molteplici vulnerabilità rimangono ancora sfruttabili e gli strumenti per sfruttarle sono disponibili gratuitamente. A causa del fatto che i requisiti di sicurezza non sono stati rilevati nella user story, prevedo di respingere lo sviluppo che questa non è una richiesta giusta. L'avvio di una nuova richiesta di funzionalità richiederebbe molto più tempo e molto probabilmente comprometterebbe il rilascio tempestivo, con gli stakeholder aziendali (non IT) che utilizzano questo software che sarebbero insoddisfatti. Sia il mio team, il QA che il mio manager concordano sul fatto che si tratta di un problema critico che dovrebbe essere risolto prima del rilascio. Se questa vulnerabilità viene sfruttata, i dati sensibili dei clienti potrebbero essere divulgati . Sto ancora cercando di vedere se la vulnerabilità è allo stato brado in questo momento.
Come faccio a comunicare al team di sviluppo che la vulnerabilità di sicurezza deve essere risolta prima del rilascio, pur riconoscendo che questa richiesta non rientra esattamente nell'ambito della user story originale? Voglio evitare ritardi ingiustificati nella riparazione e non intensificarli se non devo assolutamente.