我是我所在的IT安全團隊的團隊負責人。我工作的主要部分是領導漏洞掃描,管理和補救驗證。我經常與其他團隊互動,與開發團隊和質量保證人員進行了大量互動。
昨天,我與質量保證團隊合作,在將應用程序更改發佈到生產環境之前驗證業務需求。安全性要求之一是在代碼中實施某些安全性控制以減輕一組基本漏洞(例如OWASP Top 10),但是因為安全性在需求收集/故事設計階段沒有足夠早地涉及到在開發之前,該需求並沒有在用戶故事中清楚地體現出來。。
通過SonarQube和Burp Suite等工具的測試結果,未達到安全性要求。多個漏洞仍然可以利用,並且可以免費獲得利用這些漏洞的工具。由於沒有將安全要求記錄在用戶故事中,因此我希望從開發中撤消這不是一個公平的要求。啟動新功能請求將花費更多時間,並且很可能會危及及時發布,而使用此軟件的業務利益相關者(非IT)對此感到不滿意。我的團隊,質量檢查人員和經理都同意,這是一個關鍵問題,應在發布之前解決。 如果利用此漏洞,敏感的客戶數據可能會洩漏。我目前仍在研究該漏洞是否正在流行。
我如何與開發團隊溝通,必須在發布此安全漏洞之前對其進行修復,同時確認該請求不在原始用戶故事的範圍內嗎?我想避免不必要的補救延遲,並且如果我不是絕對必要的話,也不要升級。