Aufbau Secure SDLC

Wird die Sicherheit erst am Ende der Entwicklung berücksichtigt, hat dies in der Regel nicht nur erheblichen Einfluss auf das Sicherheitsniveau der Anwendung, sondern kann einem Unternehmen zudem auch sehr viel teuer zu stehen kommen, als wenn es diese bereits in einer früheren Entwicklungsphase adressiert hätte.

Sicherheit ist ein Querschnittsthema, welches über alle Lebenszyklus-Phasen angemessen berücksichtigt werden muss. In diesem Zusammenhang wird daher auch von einem Secure SDLC oder Secure Development Lifecycle (SDL) gesprochen, der parallel zum Software Development Lifecycle (SDLC) die entsprechenden Sicherheitsaktivitäten abbildet.

Wir unterstützen Sie nicht nur beim Aufbau entsprechender Prozesse und Management-Systeme sondern auch bei der konkreten Durchführung der einzelnen konzeptionellen und operativen Tätigkeiten in Bezug auf Entwicklung, Testing, Absicherung sowie Betrieb einbruchssicherer und anforderungskonformer Anwendungen.

Gewöhnlich setzen wir hierzu ein Application Security Programm (ASP) auf, welches wir in drei Phasen unterteilen:

  • Phase 1: Ist-Analyse (Vorprojekt, 3 – 6 Monate)
  • Phase 2: Aufbau des Secure SDLCs (1 – 2 Jahre)
  • Phase 3: Betrieb des Secure SDLCs

Eine Ist-Analyse wird u.a. auf Basis von Interviews, architekturellen Reviews, Risikoanalysen und Penetration Tests durchgeführt.

Die Ergebnisse von Phase 1 sowie die identifizierten Ziele eines Unternehmens dienen dabei als Grundlage für Phase 2, die sich in die folgenden Workstreams unterteilt:

  • Vorgaben: Schaffung neuer oder Anpassung existierender Vorgaben (Richtlinien, Coding Guidelines / Standards).
  • Prozesse: Etablierung von Security Gates in Beschaffungs- und Entwicklungs-Prozessen und Spezifikation erforderlicher Rollen.
  • Qualifikation: U.a. Fortbildung unterschiedlicher Stakeholder in Form von Schulungen und Coachings.
  • Tools: U.a. Auswahl und Einführung geeigneter Werkzeuge (z.B. durch Integration in die Build Pipeline).

Einen entscheidenden Bestandteil eines solchen Projektes besteht natürlich im Projekt Management. Unsere Berater verfügen hier über langjährige Erfahrungen aus unterschiedlichsten Projekten.