La metodología de desarrollo Agile (software development life cycle, SDLC) se basa en la toma de decisiones de modo colaborativo entre los equipos de requisitos y soluciones, y una progresión cíclica e iterativa de la producción de software de trabajo. El trabajo se realiza en ciclos repetidos regularmente, conocidos como sprints, que generalmente duran de dos a cuatro semanas.
En Agile, a menudo no se diseña para las necesidades que podrían surgir en el futuro, incluso aunque parezcan obvias. Este es un punto en el que los equipos de desarrollo y de seguridad tienden a tener dificultades. Los equipos de seguridad tienen como objetivo anticipar ataques, atacantes y riesgos. A medida que surgen necesidades y se perfeccionan con el tiempo, pueden surgir requisitos de seguridad que no se anticiparon al comienzo del proceso. Esto es normal y natural en Agile, pero puede desorientar a las personas de seguridad que no pueden protegerse contra varios posibles ataques.
Un aspecto clave desde la perspectiva de la seguridad es que Agile tiene que ver con el sprint. Si un requisito de seguridad no está en la cartera de la petición, no se programará para su entrega en ese sprint. Si no está programado en un sprint, no se completará. Cuando las necesidades de seguridad se articulan correctanebte en el total, se priorizan junto con todo lo demás.
Hace más de quince años que se publicó el Manifiesto Agile, así que es normal quer sigan apareciendo infeciencias similares a las de seguridad expuestas anteriormente.
Al crear software en un entorno ágil, es fundamental centrarse en cuatro principios:
- Confíar en los desarrolladores y equipos de pruebas más que en los especialistas en seguridad aislados del equipo.
- Seguro mientras trabajamos más que cuando terminamos.
- Implementar funciones de forma segura más que agregar funciones de seguridad.
- Mitiga los riesgos más que corregir errores.
Crear software seguro de forma ágil es fundamentalmente lo mismo que crear software de forma ágil.
