Die Möglichkeiten und Werkzeuge, Sicherheit im Softwareentwicklungsprozess sicherzustellen, sind vielschichtig, und nicht jedes Werkzeug ist für jedes Entwicklungsteam gleich gut geeignet. So kann es in einem Fall sein, dass mittels Automatisierung ein guter Abdeckungsgrad in Bezug auf zu vermeidende Schwachstellenklassen erreicht werden kann, in einem anderen Fall hingegen sind Maßnahmen auf anderer Ebene effektiver. SBA Research kann hier bei der Einordnung und längerfristigen Umsetzung unterstützen und viel Erfahrung einbringen.
Unsere Leistung
Hat sich Ihr Unternehmen zum Ziel gesetzt, durch gezielte Maßnahmen die Sicherheit im Softwareentwicklungsprozess zu erhöhen, so können wir Sie hier begleiten. Wir haben nicht nur das technische Wissen für die Verbesserung der Sicherheit in der Softwareentwicklung, sondern haben auch viel Erfahrung mit dem Aufwands-Wirksamkeits-Verhältnis von Maßnahmen.
Was beinhaltet die SDLC-Begleitung?
- SDLC-Gap-Analyse: Um den Ist-Zustand zu erheben, wird zuerst eine Gap-Analyse des Softwareentwicklungsprozesses durchgeführt. Als Basis wird das OWASP Software Assurance Maturity Model (SAMM) herangezogen (siehe dazu Dienstleistungsbeschreibung zu „SDLC-Gap-Analyse“).
- Formulierung von Zielen: Auf Basis des Ergebnisses der Gap-Analyse werden gemeinsam mit SBA Research mittel- und langfristige Ziele formuliert.
- Begleitende Maßnahmen: Die begleitenden Maßnahmen richten sich nach dem Ergebnis der Gap-Analyse und der formulierten Ziele.
- Gezielte Trainings: Mögliche Themengebiete sind hier Webapplikationssicherheit, Incident Response, sicherer Softwareentwicklungsprozess (sichere Softwareentwicklungsprinzipien, Anforderungsanalyse, sichere Designprinzipien, Penetrationstests, Quellcode-Audits, etc.)
- Unterstützung bei der Einführung von automatisierten Sicherheitstools (statische Codeanalyse, automatisierte dynamische Tests, etc.)
- Gezielte Penetrationstests, Architekturreviews und Quellcode-Audits
- Hilfestellung bei der Lösung konkreter Sicherheitsprobleme
4. Dokumentation: SBA Research kann gegebenenfalls bei der Erstellung von Dokumentation, wie z. B. Policies und Guidelines mit Bezug auf sichere Softwareentwicklung, unterstützen.
- Security Policies
- Sicherheitsanforderungen an Software für die Anforderungsanalyse
- Design-Prinzipien
- Threat Modeling
- Secure Coding Guidelines
- Testing Guidelines für TesterInnen
- Relevante Schwachstellenklassen pro Technologie-Stack und Gegenmaßnahmen auf der jeweils effektivsten Ebene
5. Laufende Evaluierung des Fortschrittes: In regelmäßigen Abständen (mit dem Auftraggeber abgestimmt) soll der Fortschritt erneut systematisch evaluiert werden. Es handelt sich dabei um eine verkürzte Form der SDLC-Gap-Analyse.
Wir erstellen hierzu gerne ein maßgeschneidertes Angebot, das genau auf die Wünsche, Ziele und Anforderungen Ihrer Organisation passt.
Benefits
- Die Ziele bei der Verbesserung des Softwareentwicklungsprozesses nicht aus den Augen verlieren.
- Sicherstellen, dass die Ziele auch erreicht werden.
- Die Effizienz und Effektivität der Maßnahmen mit der Unterstützung externer ExpertInnen erhöhen.