Sichere Sofwareentwicklung
Wird die Sicherheit erst am Ende der Entwicklung berücksichtigt, hat dies in der Regel nicht nur erheblichen Einfluss auf das Sicherheitsniveau der Anwendung, sondern kann einem Unternehmen auch sehr viel teuer zu stehen kommen, als wenn es diese bereits in einer früheren Entwicklungsphase adressiert hätte.
Die Berücksichtigung von Sicherheit im Softwareentwicklungsprozess ist daher auch längst Standard und wird so auch durch verschiedene Normen und Vorgaben verlangt. So auch durch ISO27001, wo unter Control 8.25 in ISO 27002:2022 die Etablierung eines sicheren Entwicklungsprozesses beschrieben wird.
Unter dem Begriff Secure SDLC (bzw. SSDLC) subsummieren sich alle Aktivitäten zur Verankerung von Sicherheit in den Softwareentwicklungsprozess, bzw. in den entsprechenden Prozessen für Entwicklung, Bereitstellung und Beschaffung. Doch die Absicherung des Softwareentwicklungsprozesses stellt nur einen Teil eines Secure Software Lifecycle Managements dar, welches Sicherheit über den gesamten Lebenszyklus einer Anwendung betrachtet.
In der Praxis erfordert solche umfangreichen Maßnahmen zur Verbesserung der Sicherheit in der Softwareentwicklung gewöhnlich die Berücksichtigung zahlreicher organisations-spezifischer Aspekte und der Art und Weise auf die Software entwickelt, bereitgestellt, beschafft und betrieben wird. Natürlich schließt dies auch Agile Entwicklung und DevOps mit ein.
Dabei ist es uns wichtig, stets pragmatisch und zielorientiert im Sinne des Kunden vorzugehen. Es existiert kein Standard SSDLC!
Ein sinnvolles Vorgehen ist es mit einer initialen Feststellung des Ist-Zustandes zu beginnen und darüber geeignete Maßnahmen zu Identifizieren. Wir können Sie hier etwa mit unserem SSDLC Quick Check oder mittels eines OWASP SAMM Assessments unterstützten. Natürlich unterstützten wir Sie aber auch sehr gerne bei der Konzeptionierung und Einführung eines kompletten SSDLCs (siehe Projektdurchführung SSDLC).
Werfen Sie auch einen Blick auf unser Blog zum Thema SSDLC.