Security in DNA

第三周周的第一天，不得不说，时间真的很快，早上的一个session是关于Security的，听的不是很懂，临走前pair被一个问题卡住了，虽然不是什么大问题，但还是挺影响心情的。

商量了team outing的事情，也总算有了着落，第一次的case study，虽然没有完全看完，但真的是尽力了，还是没有调整到很好的状态，但如果没有感觉错，应该比之前好些吧，总之，又是一周事情很多的时候。

Security about DNA

Threat modelling

• Structured
• Indentify quantify
• Secrity built in from the begining

Asset

Data: customer produce order admin
Detail:employee

Atackers

• Script kides
• compeiters
• Employees
• criminals
• hackers
• employees
• customer
• Competitors of TW

Threat category

• Spoofing
  Impersonating(扮演) sth. Or someone else<Authentication>
• Tampering
  Modify data or code<Integrity>
• Repudiation
  Such as search logs for dentity attacker and delete it.<logging, Auditing>
• Information disclosure
  Exposing information to someonw not authorised to see it.<confic hatity>
• Denial of service
  Demy or degrade service to users <Availability>
• Elecation of privilege
  Gain capabilities without using proper anthrisation<Authorisation>

How

• Have security mindset
• Think the way attackers would think
• Find serity problems early
• Refer to it during analysis and picking up stories
• Considered during development and testing
• Continuously updated as scope and understanding

Roles

Everyone

Think about security risks and threats

team outing

又验证了一个真理，坐在一起面谈比对着屏幕码字效率高很多，虽然最后对于money的事情不是特别满意，但是总归比以前好了，但愿这周可以顺利些。

Pair

让我感触最深也让我意识到的一个问题是，完美主义，之前一个小功能写不出来的时候，很多时候， 是因为同时同时思考着怎么让代码更简单，这样很容易将注意力转移，导致效率会慢些，今天遇到一个问题的时候，自己还沉浸在找为什么的时候，pair说不妨我们先实现功能，然后再想着重构，讲真，看着那时候我们写的代码，真的很难受，但是她说的真真切切是对的，先实现需求，再重构，把注意力集中在一件事情上，或许是我今后需要注意的地方。