متدولوژی Agile

شاید قابل توجه ترین تغییر در پروسه تولید نرم افزار در دهه گذشته، ظهور agile بوده است. به طور کلی متدولوژی های تولید نرم افزار برای قانونمند کردن پروسه تولید، به منظور کاراتر ساختن و قابل پیش بینی کردن روند، به وجود آمده اند. تمرکز این متدولوژی ها طرح ریزی یک پروسه دقیق و با جزئیات است.

در متدولوژی های اولیه که engineering methodologies یا plan-driven methodologies نامیده می شوند، هدف جداسازی کامل طراحی از ساخت و ایجاد یک طرح و زمان بندی دقیق و قابل پیش بینی است که قابل استفاده توسط افراد با توانایی های کمتر باشد. این روش ها کاملا موفق نبوده اند. بزرگترین مشکل بروکراتیک بودن آنهاست. برای پیروی از متدولوژی ها جزئیات زیادی باید دنبال شود که منجر به کند شدن روند تولید می گردد.

Agile تعادلی بین no process و too much process برقرار می کند.تفاوت های بسیاری بین agile و روش های اولیه وجود دارد، از جمله در agile حجم مستندسازی به طور قابل توجهی کمتر است و می توان گفت که روشی code-oriented می باشد. کلیدی ترین بخش یک سند کد برنامه است. اما دو تفاوت عمیق و اساسی:

  1. روش های agile تطبیقی هستند و نه قابل پیش بینی. روش های plan-driven می کوشند کل پروسه تولید را با جزئیات کامل، برای مدت طولانی طرح یزی نمایند. این روش تنها تا زمانی که تغییراتی پدید نیامده کاراست. ذات این متدها در مقابل تغییرات مقاوم است. در حالی که agile از تغییرات استقبال کرده و می کوشد که سیستم و حتی روند تولید را تطبیق دهد.
  2. agile، people-oriented است و نه process-oriented. developerها باید قادر باشند خود تمام تصمیمات تکنیکی را اتخاذ کنند. در واقع مسئولیت ها بایستی به طور مساوی میان مدیر پروژه و developerها تقسیم شود.

Iterative development راه حل کنترل یک پروسه غیرقابل پیش بینی است. در این روش ها دائما ورژن هایی از سیستم نهایی تولید می شود که شامل زیرمجموعه ای از جنبه های مورد نیاز سیستم هستند. این ورژن ها عملیات کم اما کاملا صحیح و مطمئنی را انجام می دهند. Iterative development در پروسه های تطبیقی ضروری است. در یک پروسه تطبیقی باید طرح هایی کوتاه مدت و برای یک iteration ایجاد شوند. مدت زمان یک iteration بر حسب نوع متد متفاوت است، ۱-۲ هفته (XP)، ۱ ماه (SCRUM) ، …

تطبیق دو جنبه دارد:

  1. تغییر در نرم افزار برای تطبیق با تغییرات خواسته ها.
  2. تغییر در پروسه تولید بدین مفهوم که روند تولید در پایان هر iteration بازدید، نقاط ضعف و قوت بررسی و تصمیماتی برای iteration بعدی اتخاذ می شود.

انواع مختلفی از متدهای agile وجود دارد، مانند: XP، SCRUM، Crystal، Lean، Rational Unified Process، …

منبع / اطلاعات بیشتر:Agile Alliance

چهارمین همایش سالانه سیستم مدیریت امنیت اطلاعات – روز دوم

روز دوم همایش باز هم با کمی تاخیر همراه بود. ولی در مجموع وضعیت بهتری نسبت به روز اول داشت. تمامی اسلاید ها به صورت چاپ شده در اختیار شرکت کنندگان قرار گرفته بود، ولی با توجه به تغییر اسلاید هایی که نمایش داده می شدند، نسبت به نسخه چاپی برخی قسمت ها نیاز به نوشتن داشت.

۰۸:۵۵ – اولین ارائه با عنوان انواع حملات و روش های مقابله توسط آقای مهندس سعید صفیلیان از عصر داده ها برگزار شد. در مجموع این ارائه ساختار خوبی داشت و امیدوارم که نسخه قابل استفاده در سایت همایش قرار بگیرد. با توجه به ساختار جالب و هدفمند این ارائه، فکر می کنم مقاله خیلی خوبی هم می توان برای آن نوشت.

۹:۳۰ – تنها کارگاهی که من شرکت کردم، سیاست های امنیتی بود که توسط دکتر ساتی برگزار شد. در سازمان ها و شرکت های ایرانی، با توجه به کم سن و سال بودن امنیت اطلاعات در آن ها این مورد به اندازه کافی مورد توجه قرار نگرفته است. در این مورد هم به زودی یک قالب پیشنهادی با حداقل موارد برای یک سیاست نامه امنیتی قابل استفاده ارائه خواهم کرد.

۱۱:۰۵ – ارائه امنیت در نرم افزارها و سیستم های عامل توسط آقای مهندس علی عباس نژاد برگزار شد. متاسفانه این ارائه کمی خلل پذیر و تاریخ گذشته بود. امیدوارم که جلسات آینده با محتوای دقیق تر و بررسی بیشتری ارائه گردند.

۱۴:۰۵ – ساختار و اجزا مراکز عملیات و امنیت شبکه توسط دکتر ساتی برگزار شد. معرفی لزوم وجود NOC و SOC ها و ساختار آن ها قسمت اول این ارائه بود. به صورت کلی در مورد مدیریت شبکه ها و ویژگی هایی که می بایست در نظر گرفت صحبت شد.

۱۵:۱۵ – ادامه ساختار و اجزا مراکز عملیات و امنیت شبکه شامل نمایش زنده ای از مرکز NOC مجموعه تحت مدیریت دکتر ساتی بود. با اینکه تبلیغ بسیاری در این مورد انجام شد ولی چیزی به جز یک سیستم واقعی مدیریت شبکه نبود. البته یکپارچگی سیستم قابل توجه بود. ابزار های بسیاری برای مدیریت شبکه ها وجود دارند، که این سیستم یک نمونه پیاده سازی شده بود. در مورد مدیریت شبکه ها به زودی در Secure2S می توانید بیشتر بخوانید.

نمایش گزارش های SiteProtector از محصولات ISS.

نمایش گزارش های SiteProtector از محصولات ISS.

دکتر محمد رضا نحوی، که آخر های روز دوم کمی برنامه ها رو با عجله همراه کردند.

۱۵:۵۴ – آخرین ارائه همایش توسط آقای Andreas van Leeuwen Flamino از اسکان ایت برگزار شد. با وجود زمان کم این ارائه مورد توجه بسیاری از شرکت کنندگان قرار گرفت.

مراسم اختتامیه و تقدیر از داتک برای تامین پهنای باند و پشتیبانی از همایش.

مراسم اختتامیه و تقدیر از دکتر ساتی ! ایشون تقریبا بیشترین میزان ارائه ها و کارگاه ها را در اختیار داشتند.

* لطفا اگر شما هم در سمینار بودید و در این مورد مطلبی شنید، من را مطلع کنید. باز هم لازم است از تمامی دوستانی که برای این همایش زحمت کشیده اند تشکر کنم. می توانید گزارش چهارمین همایش سالانه سیستم مدیریت امنیت اطلاعات – روز اول را نیز مطالعه کنید.

* در حاشیه همایش، نمایشگاه کوچکی برگزار شده بود که یادم رفت عکس بگیرم. شرکت های کمی شرکت کرده بودند و چون ممکن است تبلیغ شمرده شود، در موردشون صحبت نمی کنم.

چهارمین همایش سالانه سیستم مدیریت امنیت اطلاعات – روز اول

بعد از کلی تبلیغ در ماه های اخیر چهارمین همایش سالانه سیستم مدیریت امنیت اطلاعات در مرکز همایشهای بین المللی صدا و سیما برگزار شد. فکر می کنم جزو معدود افرادی بودم که به صورت شخصی در همایش شرکت کرده بودند و به جهت نوع شخصی شرکت کردن، می توانم گزارش بدون سانسوری را ارائه کنم. سعی کردم برای هر مرحله یک تصویر داشته باشم، (هر چند که با این کار کمی صفحه ها سنگین خواهند شد.) و البته تصاویر از کیفیت خیلی خوبی برخوردار نیستند. لطفا اگر در مورد نام ها و یا مطالب اشتباهی مشاهده می کنید، پیغام بگذارید. پیش از مرور، از زحمات دوستانی که زحمت برگزاری این همایش را بر عهده داشتند، متشکرم ! در نوشتن مطلب سعی کرده ام در تمامی مواردی که امکان پذیر است، پیوند مربوط را ایجاد کنم.

۰۸:۵۷ – نزدیک به ۳۰ دقیقه تاخیر، برای چنین عنوان همایشی برازنده نبود، حتی اگر در ایران این زمان تاخیر ایده آل باشد. دبیر همایش شخصی به نام آقای دکتر محمد رضا نحوی بودند که زحمت اجرای همایش را بر عهده داشتند. هر چند چنین جمعی شاید نیاز به مجری نداشته باشد، ولی مدیریت و اجرای همایش به صورت همزمان باعث کمی بی نظمی شده بود، که امیدوارم در همایش های بعدی شاهد زمان بندی دقیق تری باشیم.

۰۹:۱۱ – اولین سخنران همایش، آقای دکتر ابراهیم محمودزاده ،‌‏ رییس هیات مدیره شرکت ایران‌‏سل و مدیرعامل صاایران بودند. امیدوارم تمامی مواردی که ایشان ذکر کردند، در پیاده سازی سیستم های اپراتور دوم در نظر گرفته شده باشد. اگر این طور باشد، قطعا سرویس خوبی خواهد داشت !

با توجه به ترافیک دهشتناک اطراف بزرگراه چمران با ۱ ساعت تاخیر سالن کم کم پذیرای تمامی شرکت کنندگان شد. این طور که از دور و بر به گوش می رسید، سه دسته شرکت کننده در سمینار وجود داشت: شرکت های برگزار کننده و دوستان، مشتریان بزرگ و دولتی شرکت های برگزار کننده، و دسته اندک شرکت کنندگان شخصی.

۱۰:۳۰ – اولین برنامه رسمی همایش مربوط به تیم مدیریت بحران ایران، تحت عنوان IRAN-CERT بود. دکتر نحوی به کمک آقای دکتر ساتی ساختاری برای ایجاد یک واحد CERT در ایران را پیشنهاد دادند. نکته ای که برای من سوال بود و البته جوابی برای آن پیدا نکردم، وجود چنین مرکزی http://www.ircert.com است که ادعای همین موضوع را دارد. البته فقط اطلاعات موجود در آن برای یک سال قبل است !!! نکته دیگر وجود یک گروه غیر ایرانی (شاید غیر بومی بهتر باشد.) برای پیاده سازی چنین سیستمی است که با توجه به ماهیت CERT ها کمی سوال بر انگیز است.

نکته جالب دیگری برای این مقاله، تبدیل CIA به CIA² بود. یعنی افزودن authenticity به سه ضلع معروف امنیت اطلاعات. این ایده که به صورت اولیه در کتاب Fighting Computer Crime در مورد آن بحث شده است، کمی جای بررسی دارد. آیا تایید سندیت به عهده مرکزی است که برای مدیریت بحران ها فعالیت می کند؟ آیا واگذاری هر فعالیت به تیمی که برای آن وظیفه دارد، موجب به وجود آمدن گزارش های شفاف تر نخواهد شد؟ البته ممکن است من خیلی خوب این مورد را نفهمیده باشم.

آقای دکتر ساتی، به معرفی یک نظام سازمانی پیشنهادی برای پیاده سازی نظام امنیتی ملی ( باز هم ملی؟!!!) پرداختند.

به صورت نمونه، سناریوی امکان پذیر برای راه اندازی یک NOC/SOC کشوری معرفی گردید.

چندین نمونه سناریوی احتمالی حمله و موقعیت های مختلف به صورت خیلی مختصر مورد بررسی قرار گرفت. یکی از ایراد هایی که به این همایش می توان گرفت، کمبود(و یا شاید کمرنگ چون من کمتر ندیدم) افراد متخصص در زمینه امنیت شبکه (کلاه خاکستری ها) بود. هرچند موضوع این همایش ISMS بود، ولی یک همایش دو روزه با این هزینه کمی نیاز به نمایش های واقعی برای مشتریان دارد.

بدون شرح ! آدم که تنها باشه، خودش از خودش عکس می گیره !

۱۱:۱۵ – ارائه سوم، با موضوع مهندسی اجتماعی توسط آقای Balaji V برگزار شد.

۱۴:۰۵ – ارائه چهارم، بعد از ناهار با موضوع طرح بازیابی حوادث اطلاعاتی یا همان Disaster Recovery Plan توسط دکتر ساتی برگزار شد. در کل ارائه خوبی بود و دستشون درد نکند !

۱۵:۴۰ – یکی دیگر از ارئه های خوب امروز، تحت عنوان ممیزی سیستم مدیریت امنیت اطلاعات بود که توسط آقای مهندس پندار وطنیان از DNV برگزار گردید. سعی می کنم در مورد این موضوع در مطلبی جداگانه بنویسم.

۱۶:۲۳ – آخرین ارائه امروز، تحت عنوان آزمایشگاه امنیت و جرایم رایانه ای بود که توسط مهندس علی عباس نژاد از موسسه کهکشان نور برگزار شد. در مورد این ارائه باید بگم که اصلا از کیفیت خوب و منطقی برخوردار نبود. فکر می کنم برای همایش هایی که کمی فنی برگزار می شوند، استفاده از موارد تئوری و بدون راهبرد صحیح با ذائقه خیلی ها سازگار نباشد. در کل مواردی که ذکر شده بودند، به نظر من باعث منحرف شدن Computer Security Forensics به یک پروسه قانونی شده بودند. (هر چند جنبه های قانونی در Forensics  کاملا قابل تامل و لازم به اجرا هستند.) ایده اصلی این ارائه، ایده ای بود به اسم IranLAB که کارهای زیادی را انجام خواهد داد!!!!! و همین دلیل بود که بعد تجاری و بازاریابی این ارائه باعث منحرف شدن مطلب شده بود.

حاشیه ۱: قرار شده است که به زودی اسناد و فایل های همایش بر روی سایت مربوطه قرار بگیرد.

حاشیه ۲: از اینکه موارد انتقادی رو به صورت روشن بیان کردم، فقط به دنبال بهتر شدن این گونه همایش ها هستم، تمامی افرادی که این سمینار را ترتیب داده بوند، زحمت بسیار زیادی کشیده بوده اند.

حاشیه ۳: از زمان اعلام شده، چیزی نزدیک به ۲ساعت اتلاف شد و برنامه کارگاه ها اصلا مناسب نبود، فکر می کنم دبیرخانه همایش با توجه به هزینه ای که برای این موارد دریافت کرده است می بایست برنامه ریزی بهتری انجام می داد.

– گزارش روز دوم را بخوانید. اگر در این مورد نظر و یا انتقادی دارید آن را در قسمت نظرات مطرح کنید.