Das Thema „Sicherheit“ wird in heutigen Softwareprojekten leider viel zu oft entweder überhaupt nicht oder aber lediglich als „nachgelagertes Übel“ verstanden. Der „Pentest danach“ ist dann häufig das Mittel der Wahl. Einige Projekte setzen auch auf den unangepassten Einsatz so genannter Security-„Quick-Wins“ (Security Libraries und/oder frei herunterladbare Secure Coding Guidelines), was in erster Instanz zwar besser als gar nichts, in der Praxis aber oft zu ineffektiv und/oder ungenau ist. Diese Erkenntnis führt unter Entwicklern dann oftmals zu einer Abwehrhaltung, da dieses Thema letztlich nur noch als störender, zahnloser „Papier-Tiger“ wahrgenommen wird.
Zusätzlich führen Änderungen an funktionalen bzw. nichtfunktionalen Anforderungen, Code-Anpassungen, Anpassungen an Projektabhängigkeiten und der Einsatz moderner Vorgehensmodelle (wie beispielsweise Agilität) schnell zu einem starken Anstieg der Komplexität. Die Folge ist oft, dass Security als Teil der frühen Entwicklungsphasen auf der Strecke bleibt. Diesem Verfall kann man entgegenwirken, indem man jegliche Vorgaben, wie den erwähnten Einsatz von Security-Libraries und Secure Coding Guidelines, an das jeweilige Bedrohungs-, Technologie- und Entwicklungsumfeld anpasst und auch auf dieses beschränkt.
Wir können dies für Sie übernehmen oder Ihre Experten dabei unterstützen!
Wir unterstützen Sie:
In enger Abstimmung mit Ihnen als Auftraggeber
- analysieren wir Ihren Entwicklungsprozess und den aktuell zum Einsatz kommenden Technologiestack (optional auch als Teil eines Workshops)
- führen wir, falls nicht bereits geschehen, mit Ihnen zusammen in einem kurzen Workshop eine (minimale) Bedrohungsanalyse durch
- leiten wir, für Ihren Technologiestack passende, Maßnahmen und konkrete Umsetzungsempfehlungen ab
- erstellen wir aus den gewonnenen Informationen speziell auf Ihr Umfeld angepasste Secure Coding Guildelines und sprechen Empfehlungen für Security-Libraries aus
- überführen die Vorgaben in ein für Ihre Entwickler gewohntes und akzeptiertes Format (freistehendes Dokument, Wiki etc.)
Siehe auch:
- Threat Modelling
- Security Architekturworkshops
- Agile Security & Secure DevOps
- Fallstudie: Secure Coding Guidelines als Teil der Sicherheitsanforderungen
Weiterführende Informationen:
Unser Lean Application Security Ansatz zur Entwicklung von Grund auf sicherer Anwendungen, der sich nahtlos in moderne agile Entwicklungsmodelle und DevOps-Prozesse integriert.
Ihr Ansprechpartner:
Dr. Bastian Braun
Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.
