Secure SDLC

Wird die Sicherheit erst am Ende der Entwicklung berücksichtigt, hat dies in der Regel nicht nur erheblichen Einfluss auf das Sicherheitsniveau der Anwendung, sondern kann einem Unternehmen zudem auch sehr viel teuer zu stehen kommen, als wenn es diese bereits in einer früheren Entwicklungsphase adressiert hätte.

Sicherheit ist ein Querschnittsthema, welches über alle Lebenszyklus-Phasen einer Anwendung, beginnend bei ihrer Spezifikation bis hin zu ihrer Außerbetriebnahme, angemessen (= ihrem Schutzbedarf entsprechend) berücksichtigt werden muss.

Mit Secure SDLC bezeichnen wir die Verankerung von Sicherheit in der Softwareentwicklung, bzw. in den entsprechenden Prozessen für Entwicklung, Bereitstellung und Beschaffung. Auch bekannt als Secure Development Lifecycle (SDL), dient dieser dazu, parallel zum Software Development Lifecycle (SDLC) relevante Sicherheitsaktivitäten zu integrieren. Die folgende Darstellung zeigt hierzu ein generisches Beispiel:

In der Praxis erfordert die Implementierung eines solchen Secure SDLCs gewöhnlich die Berücksichtigung zahlreicher spezifischer Aspekte und Facetten in denen Software entiwckelt, bereitgestellt, beschafft und natürlich betrieben wird. Natürlich schließt dies auch die Agile Entwicklung (etwa mit Scrum oder Kanban) mit ein. Auch hier lassen sich grundsätzlich dieselben Anforderungen verankern, auch wenn in einer etwas anderen Form.