Engenharia de Papéis e o Processo XP: uma Proposta de Integração através do Jogo do Planejamento
Resumo
Este trabalho propõe uma metodologia que integra os requisitos docontrole de acesso baseado em papéis (RBAC), obtidos através da engenhariade papéis, ao processo de desenvolvimento eXtreme Programming (XP). Aintegração é realizada através de uma extensão do jogo do planejamento XPpara incluir os passos da engenharia de papéis que resultarão em novassaídas chamadas de Role-related User stories, os cartões de testesrelacionados às Role-related User stories e o modelo RBAC concreto.
Referências
Astels, D.; Miller, G.; Novak, M. “eXtreme Programming – Guia Prático”. Rio de Janeiro, RJ: Campus, 2002. Boström, G.; Wäyrynen, J.; Bodén, M. “Extending XP Practices to Support Security Requirements Engineering”. In SESS’06, Shangai, China, 20-21 de Maio de 2006. Commom Criteria. Disponível em: <http://www.commoncriteriaportal.org>. Acesso em: 20 de setembro de 2007.
Coyne, E. “Role Engineering”. In Proceedings of 1st ACM Workshop on Role-Based Access Control, Gaithersburg, MD, Novembro de 1995.
Epstein, P.; Shandu, R. “Engineering of role/permission assignment”. In Proceedings of Simpósio Brasileiro de Sistemas de Informação 116 17th Annual Computer Security Application Conference, New Orleans, LA. Dezembro de 2001.
EXtreme Programming: A gentle introduction, 17 Febuary 2007. Produced by Don Wells. Disponível em: <www.extremeprogramming.org>. Acesso em: 20 de setembro de 2007.
Ferraiolo, D. F., Sandhu, R., Gavrila, S., Kuhn, D. R. e Chandramouli, R. “Proposed NIST Standard for Role-Based Access Control”, ACM Transactions on Information and System Security, v. 4, n. 3, p. 224-274, Agosto de 2001.
Fowler M. “The New Methology”. Dezembro de 2005. Howard, J. D. “An Analysis of Security Incidents on the Internet: 1989-1995”, Carnegie Mellon University, PhD Thesis, 1997.
Joshi, J. B. D.; Aref, W. G.; Ghafoor, A.; Spafford, E. H. “Security models for webbased applications”. Communications of the ACM, v. 44, n. 2, p. 38-44. Fevereiro de 2001.
Neumann, G.; Strembeck M. “A scenario-driven role engineering process for functional RBAC roles”. In Proceedings of 7th ACM Symposium Control Models and Technologies, Monterey, CA. Junho de 2002.
Peeters J. “Agile Security Requirements Engineering”. Presented at the Symposium on Requirements Engineering for Information Security, 2005.
Roeckle, H.; Schimpf, G.; Weidinger, R. “Processes-oriented approach for role-finding to implement role-based security administration in a large industrial organization”. In Proceedings of 5th ACM Workshop on Role-Based Access Control, Berlin, Alemanha, 26-27 de Julho de 2000.
Shandu, S.; Ahn G. J. “Role-based authorization constraints specification”. ACM Transactions on Information and System Security. Novembro de 2000.
Shandu, S.; Coyne E. J.; Feinstein H. L.; Youman C. E. “Role-based access control models”. IEEE Computer, pág. 38-44, fevereiro de 1996.
Shin, D.; Ahn, G. J.; Cho, S.; Jin S. “On Modelling System-centric Information for Role Engineering”. ACM. Junho de 2003.
Siponen, M.; Baskerville, R.; Kuivalainem, T. “Integrating Security into Agile Development Methods”. In Proceedings of the 38th Hawaii International Conference on System Sciences. 2005.
SSE-CMM: Systems Security Engineering Capability Maturity Model. Disponível em: <http://www.sse-cmm.org/index.html>. Acesso em: 20 de setembro de 2007.
Thomsen, D.; OíBrien, D.; Bogle, J. “Role Based access control framework for network enterprises”. In Proceedings of 14th Annual Computer Security Application Conference, pages 50-58, Scotscale, AZ, 7-11 de Dezembro de 1998.
Wäyrynen, J.; Bodén, M.; Boström, G. “Security Engineering and eXtreme Programming: an Impossible marriage?”, XP/Agile Universe 2004, Berlin: SpringerVerlag, 2004, pp. 117-128.