| Resumen: | Equipes de desenvolvimento ágil são multidisciplinares, tendo como foco a entrega contínua de produto funcional e testável em intervalos previamente definidos. Para atender às expectativas dos usuários, a equipe de desenvolvedores deve levar em consideração requisitos funcionais e não funcionais. Os requisitos funcionais estão diretamente ligados às regras de negócio e são mais visíveis do que os requisitos não funcionais, os quais podem ser subjetivos e demandar conhecimentos mais amplos. Desta forma, requisitos de segurança, em muitos casos, são classificados como não funcionais, tendo origem em fontes diversas e demandando conhecimentos que vão além do negócio e das técnicas de desenvolvimento. Neste sentido, existem críticas sobre a falta de cuidado do ágil com relação aos requisitos não funcionais, em especial requisitos de segurança. Esta pesquisa visa justamente a intersecção entre as áreas de desenvolvimento ágil de software e segurança da informação, propondo algumas práticas para lidar com requisitos de segurança em equipes ágeis de desenvolvimento. A principal contribuição deste trabalho consiste em introduzir um novo artefato denominado história de mau usuário, com suas regras e práticas recomendadas. Este novo artefato visa definir um framework ágil estendido para ampliar o foco dado aos requisitos de segurança, tornando tais requisitos mais explícitos.
Agile teams are multidisciplinary and focus on delivering working and verifiable software within predefined periods in a continuous way. In order to satisfy users’ expectations, the agile team has to deal with functional and non-functional requirements. The functional requirements are directly linked to the business rules, being more noticeable than the nonfunctional ones, which may be subtle and might require a wider range of knowledge. Thus, in many situations, security requirements are classified as non-functional requirements. These can derive from a variety of sources, requiring expertise beyond business or even development techniques. Therefore, there are some critics about the way agile deals with nonfunctional requirements specially the security ones. This research aimed to put together agile software development and information security areas, by proposing a set of practices to cope with security requirements in agile development teams. The main contribution of the present work is introducing a new artifact named misuser story, composed of related rules and recommended practices. That new artifact intends to define an extended agile framework for promoting the consideration on security requirements, making these requirements more explicit. |
