Новый подход к обеспечению безопасной разработки приложений предлагают
исследователи из NC State . Разработанная ими система получила название
Protection Poker, она призвана помочь разработчикам установить возможные места
утечек в приложении еще до момента его развертывания.
Согласно этой методике, команды разработчиков программных продуктов, начиная
от менеджеров верхнего звена и заканчивая программистами, садятся за один стол и
играют в видоизмененный вариант покера специальным набором карт. Менеджеры,
например, представляют программистам свои идеи по поводу необходимости внедрения
тех или иных функций. После этого все "игроки" оценивают критичность данных,
которые может использовать новая функция, и то, насколько просто ее будет
атаковать. Свои оценки они ставят, используя карты, позволяющие оценить ценность
данных и простоту взлома по шкале от 1 до 100 единиц.
Игроки выкладывают карты одновременно. И те их них, кто присвоил самые
высокие и самые низкие рейтинги, публично объясняют свою позицию. Идея состоит в
том, чтобы инициировать в команде разработчиков дискуссию и выложить на общий
стол все те специфические знания, который приносит каждый из участников.
Более подробно с данной методологией можно ознакомится
здесь.
