Ketterää ja lean-ohjelmistokehitystä voidaan tehdä useilla eri malleilla. Ohessa on lyhyesti kuvattu, miten yllä mainitut vastuut voidaan ottaa mukaan kussakin mallissa
Scrum
Uhkamallinnuksen tarpeen arviointi voidaan sisällyttää tehtävien Definition of Ready -kriteereihin, jos niitä käytetään esiehtona työn aloittamiselle.
Tietoturvatyötehtävät sisällytetään Scrum-työjaksoihin (sprint) aivan kuin ne olisivat toiminnallisten vaatimusten toteutusta. Esimerkiksi uhkamallinnuksen ja tutkivan tietoturvatestauksen tarve tuodaan esille tehtävänä tai tehtävään sidottuna hyväksyntäkriteerinä.
Yleisiä kaikkiin kehitystehtäviin liittyviä Definition of Done -kriteereitä ei käytetä tietoturvatyön ohjaamiseen, koska tällöin niille ei erikseen varata aikaa. Ohjelmistokehittäjät saavat toki omatoimisesti tehdä tietoturvaan liittyviä Definition of Done -kriteerejä oman laadunvalvontansa tueksi.
Jos tietoturvatyö luodaan tehtävälistalle erillisenä tehtävänä, se merkitään yleensä riippuvuudeksi toiminnallisuuden toteutuksen valmistumiselle. Tämä tehdään tyypillisessä tiketöintijärjestelmässä linkittämällä tehtävät toisiinsa.
Koska Scrum-työjakson suunnitteluvaiheessa (sprint planning) on yleensä sitouduttava tiettyyn työmäärään, esimerkiksi uhkamallinnustyö kannattaa yleensä tehdä aiemmassa työjaksossa kuin missä varsinainen toiminnallisuus toteutetaan. Uhkamallinnus saattaa muuttaa työmääräarvioita voimakkaastikin.
Kanban
Tietoturvatyötehtävien hallinta noudattelee Scrumin mallia (yllä). Koska kanban-menetelmässä ei ole työjakson pituuteen perustuvaa työmäärän (Work in Progress) rajoitusta, esimerkiksi uhkamallinnus on luonnollisemmin toteutettavissa toiminnallisuuden hyväksyntäkriteerinä sen sijaan, että se olisi erillinen työtehtävä.
DevOps
Kulttuurisena käsitteenä DevOps eli autonomisten kehitys- ja tuotantoaikaisista toimenpiteistä vastaavien tiimien luominen on tietoturvan kannalta lähes aina positiivinen asia. DevOps-kypsyyden parantaminen on tämän vuoksi suositeltavaa.
Tietoturvan yhteydessä käytetään enenevässä määrin termiä DevSecOps, jolla viitataan siihen, että tuotetiimillä on vastuuta käytönaikaisten toimenpiteiden (Ops) lisäksi myös tietoturvasta (Sec).
Pilvipalveluiden osalta tuotetiimin vastuuttaminen tietoturvan käytönaikaiseen havainnointiin ja reagointiin voi olla kuormittavaa ja vaatia kehittyneitä työkaluja. Vastuuta ei voi siirtää tuotetiimille ilman riittävää tukea ja resursseja, joten organisaation on löydettävä kehitystiimeille sopiva malli, jossa tiimit voivat tukeutua kaikille yhteisiin malleihin. Esimerkiksi pilvipalveluiden standardiratkaisujen käyttöönottoa ja tietoturvan monitorointi- ja reagointimallien luomista voidaan helpottaa keskitetyn pilvipalvelutiimin toimesta.
Automaatio, jatkuva integraatio ja toimitus
Ne tietoturvatehtävät, jotka ovat luonteeltaan nopeasti toistuvia tai jatkuvia, kuten staattinen analyysi, automaattiset haavoittuvuusskannaukset, riippuvuuksien haavoittuvuusseuranta ja käytönaikainen tietoturvaan liittyvä monitorointi, pitäisi mahdollisuuksien mukaan automatisoida.
Kun automatiikka on riittävän kypsää, jatkuvan integraation (continuous integration tai CI) järjestelmään voidaan rakentaa logiikkaa, joka estää tuotantoonviennin, jos automatiikka huomaa mahdollisen tietoturvariskin.
Tietoturvatehtävien automatisointi on itsessään työtä, ja sikäli kun ohjelmistokehittäjät toteuttavat automatisoinnin, tämäkin kehitystyö ohjataan tuotteen tehtävälistan kautta. Tällöin sen kustannukset ja priorisointi tulevat käsitellyksi.