SSDLC / SSLM

Wird die Sicherheit erst am Ende der Entwicklung berücksichtigt, hat dies in der Regel nicht nur erheblichen Einfluss auf das Sicherheitsniveau der Anwendung, sondern kann einem Unternehmen zudem auch sehr viel teuer zu stehen kommen, als wenn es diese bereits in einer früheren Entwicklungsphase adressiert hätte.

Sicherheit ist ein Querschnittsthema, welches über alle Lebenszyklus-Phasen einer Anwendung, beginnend bei ihrer Spezifikation bis hin zu ihrer Außerbetriebnahme, angemessen (= ihrem Schutzbedarf entsprechend) berücksichtigt werden muss.

Unter dem Begriff Secure SDLC (SSDLC) subsummieren wir Aktivitäten zur Verankerung von Sicherheit in der Softwareentwicklung, bzw. in den entsprechenden Prozessen für Entwicklung, Bereitstellung und Beschaffung. Auch bekannt Secure Development Lifecycle (SDL), dient dieser dazu, relevante Sicherheitsaktivitäten (z.B. Threat Modeling, Code Reviews, SAST, Pentesting oder Application Hardening) in den Software Development Lifecycle (SDLC) zu integrieren.

Doch ein solcher SSDLC stellt nur einen Teil eines Secure Software Lifecycle Managements (SSLM) dar, welches im folgenden dargestellt ist:

In der Praxis erfordert solche umfangreichen Maßnahmen zur Verbesserung der Sicherheit in der Softwareentwicklung gewöhnlich die Berücksichtigung zahlreicher organisations-spezifischer Aspekte und Facetten in denen Software entwickelt, bereitgestellt, beschafft und natürlich betrieben wird. Natürlich schließt dies auch die Agile Entwicklung (etwa mit Scrum oder Kanban) mit ein. Auch hier lassen sich grundsätzlich dieselben Anforderungen verankern, auch wenn in einer etwas anderen Form.