Der Kern von sicherer Softwareentwicklung mit agilen Methoden liegt in der entwicklungsbegleitenden Definition von Anforderungen und der Verifikation dieser Anforderungen. Dabei unterscheiden wir Anforderungen nach ihrem Scope: Projektweite Anforderungen werden bspw. als Secure Coding Guidelines festgehalten und dienen fortan als Nachschlagewerk und Referenz für Peer Reviews im Rahmen von Pull Requests sowie als Orientierungspunkt für neue Projektmitglieder. Ein gewisser Anteil von Tickets erfordert darüber hinaus spezifische Sicherheitseigenschaften. Hierzu gehören sensible Schritte im Workflow von Nutzern wie der Login, die Registrierung und die Funktion für das Zurücksetzen vergessener Passwörter. Diese Anforderungen müssen mit den Entscheidungsträgern abgestimmt und dann in der Sprache der Entwickler definiert werden.
Die Verifikation der Anforderungen geschieht im Optimalfall zeitnah nach der Fertigstellung des entsprechenden Code, z.B. kurz vor oder nach dem Merge des Feature Branches. Als Faustregel gilt, dass projektweite Anforderungen meist automatisiert mit Toolunterstützung geprüft werden können, während ticketbasierte Anforderungen von einem menschlichen Tester abgenommen werden müssen.
Wir unterstützen Sie:
- Architektur- und Prozessberatung in der frühen Projektphase
- Integration in bestehende Ticket- und Collaboration-Workflows für die Behandlung von Sicherheit
- Abstimmung und Definition von Sicherheitseigenschaften auf Ticketebene wo nötig
- Planung der Anwendung von manuellen und (teil-)automatisierten Penetrationstests, Codeanalysen und Sicherheitsaudits und deren Durchführung
- Aufsetzen von automatisierten Sicherheitstests und Implementierung der technischen Prozesse
- Unterstützung bei der Einführung von Continuous Integration- und Continuous Deployment-Prozessen
Siehe auch:
- Threat Modelling
- Secure Coding Guidelines
- Agile Security & Secure DevOps
- Fallstudie: Security-by-Design mit einem Security Champion
- Fallstudie: Skalierbare Security-Unterstützung mit Lean Application Security
Weiterführende Informationen:
Unser Lean Application Security Ansatz zur Entwicklung von Grund auf sicherer Anwendungen, der sich nahtlos in moderne agile Entwicklungsmodelle und DevOps-Prozesse integriert.
Ihr Ansprechpartner:
Dr. Bastian Braun
Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.
