Secure SDLC / SSLM

Wird die Sicherheit erst am Ende der Entwicklung berücksichtigt, hat dies in der Regel nicht nur erheblichen Einfluss auf das Sicherheitsniveau der Anwendung, sondern kann einem Unternehmen zudem auch sehr viel teuer zu stehen kommen, als wenn es diese bereits in einer früheren Entwicklungsphase adressiert hätte.

Sicherheit ist ein Querschnittsthema, welches über alle Lebenszyklus-Phasen einer Anwendung, beginnend bei ihrer Spezifikation bis hin zu ihrer Außerbetriebnahme, angemessen (= ihrem Schutzbedarf entsprechend) berücksichtigt werden muss.

Mit Secure SDLC bezeichnen wir die Verankerung von Sicherheit in der Softwareentwicklung, bzw. in den entsprechenden Prozessen für Entwicklung, Bereitstellung und Beschaffung. Auch bekannt als Secure Development Lifecycle (SDL) oder SSDLC, dient dieser dazu, in den Software Development Lifecycle (SDLC) relevante Sicherheitsaktivitäten (z.B. Threat Modeling, Code Reviews, SAST, Pentesting oder Application Hardening) zu integrieren.

Doch ein solcher Secure SDLC stellt nur einen Teil eines Secure Software Lifecycle Managements (SSLM) dar, welches im folgenden dargestellt ist:

In der Praxis erfordert solche umfangreichen Maßnahmen zur Verbesserung der Sicherheit in der Softwareentwicklung gewöhnlich die Berücksichtigung zahlreicher organisations-spezifischer Aspekte und Facetten in denen Software entwickelt, bereitgestellt, beschafft und natürlich betrieben wird. Natürlich schließt dies auch die Agile Entwicklung (etwa mit Scrum oder Kanban) mit ein. Auch hier lassen sich grundsätzlich dieselben Anforderungen verankern, auch wenn in einer etwas anderen Form.