Projektdurchführung SSDLC
Sicherheit ist ein Querschnittsthema, welches über den gesamten Lebenszyklus einer Anwendung angemessen berücksichtigt werden muss. Wir unterstützten Sie hier bei der Integration eines Secure SDLCs (SSDLCs) bzw. sicheren Software Lifecycle Management System (SSLM).
Wir unterstützen Sie nicht nur beim Aufbau entsprechender Prozesse und Management-Systeme sondern auch bei der konkreten Durchführung der einzelnen konzeptionellen und operativen Tätigkeiten in Bezug auf Entwicklung, Testing, Absicherung sowie Betrieb einbruchssicherer und anforderungskonformer Anwendungen.
Gewöhnlich setzen wir hierzu ein Application (Software) Security Programm auf, welches wir gewöhnlich in drei Phasen unterteilen:
- Phase 1: Ist-Analyse und Planung (Vorprojekt bzw. Projektstudie, 3 – 6 Monate)
- Phase 2: Implementierung und Pilotierung (6 Monate – 1 Jahr)
- Phase 3: Rollout (üblicherweise ebenfalls in mehreren Phasen)
Eine Ist-Analyse wird u.a. auf Basis von Interviews, Architekturreviews, Bedrohungs- oder Risikoanalysen und Penetrationstests durchgeführt. In Phase 1 bzw. 2 lassen sich zudem sehr gut bereits Quick Wins umsetzen (siehe unseren Blog-Eintrag hierzu).
Die Ergebnisse von Phase 1 sowie die identifizierten Ziele eines Unternehmens dienen dabei als Grundlage für Phase 2, die sich in die folgenden Workstreams unterteilt:
- Vorgaben: Schaffung neuer oder Anpassung existierender Vorgaben (Richtlinien, Coding Guidelines / Standards).
- Prozesse: Etablierung von Security Gates in Beschaffungs- und Entwicklungs-Prozessen und Spezifikation erforderlicher Rollen.
- Qualifikation: U.a. Fortbildung unterschiedlicher Stakeholder in Form von Schulungen und Coachings.
- Tools: U.a. Auswahl und Einführung geeigneter Werkzeuge (z.B. durch Integration in die Build Pipeline).
Einen entscheidenden Bestandteil eines solchen Projektes besteht natürlich im Projekt Management. Unsere Berater verfügen hier über langjährige Erfahrungen aus unterschiedlichsten Projekten.