Misuser stories : an extended agile framework for handling security requirements in agile software development

Abstract

Equipes de desenvolvimento ágil são multidisciplinares, tendo como foco a entrega contínua de produto funcional e testável em intervalos previamente definidos. Para atender às expectativas dos usuários, a equipe de desenvolvedores deve levar em consideração requisitos funcionais e não funcionais. Os requisitos funcionais estão diretamente ligados às regras de negócio e são mais visíveis do que os requisitos não funcionais, os quais podem ser subjetivos e demandar conhecimentos mais amplos. Desta forma, requisitos de segurança, em muitos casos, são classificados como não funcionais, tendo origem em fontes diversas e demandando conhecimentos que vão além do negócio e das técnicas de desenvolvimento. Neste sentido, existem críticas sobre a falta de cuidado do ágil com relação aos requisitos não funcionais, em especial requisitos de segurança. Esta pesquisa visa justamente a intersecção entre as áreas de desenvolvimento ágil de software e segurança da informação, propondo algumas práticas para lidar com requisitos de segurança em equipes ágeis de desenvolvimento. A principal contribuição deste trabalho consiste em introduzir um novo artefato denominado história de mau usuário, com suas regras e práticas recomendadas. Este novo artefato visa definir um framework ágil estendido para ampliar o foco dado aos requisitos de segurança, tornando tais requisitos mais explícitos.