Agile Security
Software agil zu entwickeln, d.h. in der Regel mittels Scrum oder Kanban, bietet große Vorteile, was dazu geführt hat, dass hierdurch das klassische Wasserfallmodell in immer mehr Unternehmen abgelöst wurde oder dies zumindest dort für bestimmte Bereiche zumindest erwogen wird. Agile Softwareentwicklung stellt jedoch auch die Applikationssicherheit vor ganz neue Herausforderungen.
Denn viele Sicherheitsmaßnahmen, die noch im klassischen Entwicklungsvorgehen sehr gut funktioniert hatten (z.B. Pentests oder Bedrohungsanalysen), sind mit dem agilen Vorgehen nicht mehr kompatibel. Besonders gravierend ist dies wenn zusätzlich zum agilen Vorgehen auch Continuous Delivery oder Continuous Deployment (DevOps) eingesetzt wird.
Agil und Sicherheit sind dabei keinesfalls Wiedersprüche. Tatsächlich kann Agilität (auch in Form von Continuous Deployment/DevOps) Sicherheitsvorteile besitzen. Dies schließt jedoch nicht häufig nicht weniger als ein Umdenken existierender Maßnahmen, Prozesse und Anwendung von Technologien voraus.
Wir unterstützen Sie dabei, Sicherheit in ihrer agilen Softwareentwicklung nachhaltig zu verankern und Ihre agile Transition sicher zu gestalten!
Eine exemplarische Einbettung von Maßnahmen in einer agilen Softwareentwicklung auf Basis von Scrum ist in der folgenden Abbildung veranschaulicht:
Einige exemplarische Tätigkeiten in diesem Bereich:
- Operativer Projektsupport (z.B. durch laufendes Threat Modeling (sehen Sie hierzu auch unseren aktuellen Blog Post), erstellen und Pflege von Security Stories, Security Testing, Schreiben von Sicherheitskonzepten)
- Trainings, Coaching und Workshops mit agilen Teams
- Coaching von Entwicklern, Projektleitern und Scrum Mastern
- Anpassung und Ausgestaltung existierende Sicherheitsprozesse für agile Vorgehen
- Erstellung von Security Guidelines (z.B. Secure Coding Guidelines, Agile Security Practices) und Vorgaben
- Unterstützung beim Aufbau von Security Test Pipelines (z.B. durch Integration in CI/CD-Pipeline)