Security Guidelines

Den Ausgangspunkt jeder sicheren Anwendungen bilden geeignete Sicherheitsanforderungen. In vielen Fällen sind diese jedoch entweder unvollständig oder ungeeignet und werden daher innerhalb der Entwicklung häufig schlichtweg ignoriert. Ohne geeignete Sicherheitsanforderungen bleibt das angestrebte Sicherheitsniveau in den späteren Entwicklungsphasen dagegen den jeweiligen Entwicklern oder Architekten überlassen.

Die Spezifikation von (Projekt-)übergreifender Sicherheitsanforderungen ist zudem auch deshalb wichtig, um damit die Einhaltung geltender interner oder auch externer Vorgaben (z.B. OWASP, PCI DSS, BDSG, BSI) sicherzustellen.

Grade größeren Unternehmen empfehlen wir die Implementierung übergreifender Standards für Applikationssicherheit bzw. Web Security im Unternehmen. Wir bieten hierzu mit TSS-WEB, eine entsprechende Vorlage an, die kostenfrei verwendet werden darf. Aus diesem Standard lassen sich dann Guidelines für einzelne Technologie-Stacks (Java, .NET) und Frameworks ableiten.

Dieser Lösungsansatz ist in der folgenden Abbildung veranschaulicht:

 

Neben solchen technischen Anforderungen, ist natürlich auch die Spezifikation fachlicher Sicherheitsanforderungen wichtig. Hierzu existieren verschiedene erprobte Verfahren, wie Evil User Stories oder Abuse Cases, die sich auch sehr gut im Rahmen einer agilen Softwareentwicklung einsetzen lassen.

Bei der Erstellung von Richtlinien und Security Guidelines legen wir großen Wert auf deren praktische Anwendbarkeit von den einzelnen Entwicklungsteams. Dies erreichen wir u.a. mit den folgenden Maßnahmen:

  • Berücksichtigung des Technologiestacks des Kunden (z.B. Java, JSF, Hibernate, IBM WebSphere)
  • Einbau von Code- und Konfigurationsbeispielen, die (soweit dies möglich ist) stets auf Korrektheit getestet werden
  • Einbeziehung von Ergebnissen vergangener Sicherheitsuntersuchungen (sofern vorhanden)
  • Abstimmung von Inhalten mit entsprechenden Stakeholdern
  • Durchführung von Qualifikationsmaßnahmen (z.B. Trainings) auf Basis der erstellten Richtlinien und Guidelines
  • Mögliche Formate: Word, PDF, HTML oder Confluence

 

Security Content für Atlassian Confluence & SharePoint

Die Secodis hat über die Jahre umfassende Erfahrung mit der Erstellung von Sicherheitsanforderungen, speziell für den Java-Technologiestack, aufgebaut. Benötigen Sie aussagekräftige und sinvolle Sicherheitsrichtlinien oder -Guidelines für Ihre Entwicklung so fangen wir nicht „auf der grünen Wiese“ an, sondern bauen diese auf unserem vorhandenen Content auf. Das ist für Sie nicht nur günstiger, sondern stellt auch eine hohe Qualität der erstellten Vorgaben sicher. Da Kunden ihre Security Guidelines häufig direkt in Atlassian Confluence (auch in SharePoint einbindbar) anlegen möchten, bieten wir hierzu gleich die Möglichkeit unseren Content gleich als Export für Confluence zu beziehen und diesen nach eigenen Bedürfnissen individuell anzupassen.
 
Unser aktueller Content umfasst zur Zeit die folgenden Inhalte:

  • Bedrohungskatalog: Enthält generische Bedrohungen (aktuell 64) speziell für Web-basierte Anwendungen und Services mit Verweisen auf OWASP Top Ten, OWASP Guidelines, CAPEC und CWE.
  • Secure Coding Guidelines: Enthält aus den Bedrohungen abgeleitete Best Practices (aktuell 48) mit Verweisen auf Seiten der OWASP sowie konkreten Implementierungshinweisen (inkl. zahlreicher Codebeispielen) für:
    • Java EE
    • Java-EE-Frameworks JSF, GWT und Spring MVC/Security
    • JavaScript & HTML5
    • Angular / Angular JS
    • Node.JS
    • C#, ASP.NET und ASP.NET Core (in Arbeit)
  • Threat Modeling Template: Ermöglich die Durchführung einfacher Bedrohungsanalysen innerhalb von Confluence auf Basis unseres Bedrohungskatalogs und eines anpassbaren Fragenkatalogs.
  • Web Security Policies: Auf Wunsch erhält der Kunde zusätzlich den Content unseres Web Security Standards TSS-WEB (https://tss-web.secodis.com), der für die Erstellung eigner Vorgaben und Standards verwendet werden kann.
  • Verfügbar aktuell nur in English