安全性的非功能性需求对于定义SDLC是否有意义？

Question

最近，我与我的公司网络安全风险负责人进行了一次安全讨论，讨论了安全控制和他们将实施的项目标准。风险引导的预期是，这些控制将追溯到为项目定义的体系结构驱动的非功能需求。这将是我的责任，为开发团队定义这些非功能性的需求在设计或Sprint中完成。

对于许多已定义的控件来说，这是有意义的，但是有些控件不是关于系统的质量和属性，而是更多地涉及SDLC过程本身的期望和需求。例如：生产数据应被掩盖和匿名，然后才能骑自行车到测试或质量保证系统。

我认为，非功能性需求只定义系统的质量属性是没有意义的，软件开发生命周期过程不是系统的组成部分，而是项目团队的组成部分。

他们的反应是，我不知道我在说什么，我应该对非功能性需求做更多的研究。

他们的定罪让我怀疑我是否真的正确理解了非功能性需求？我读过的文献从未提到质量属性的范围，它扩展到SDLC过程，比如将生产数据循环到测试系统。我并不是说捕捉SDLC过程中的这些需求并不重要，我只是认为这些不是非功能性的需求。我说错了吗？

Answer 1

我的理解和你的一样。非功能需求(或质量属性)描述系统，而不是用于构建系统的过程或方法。从维基百科到软件需求，第三版，每件事似乎都与此相一致。安全性是一种有效的非功能需求类型的示例，但仅从系统的角度来看是安全的，而不是构建系统的人员或他们使用的方法和工具。

我确实认为，客户可以对您的流程提出要求，这也是非常有效的。您需要跟踪并跟踪到组织和项目的计划和过程。不过，我不会将其与描述正在开发中的系统的非功能需求组合在一起。