:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/54/8c54744c036ec61da10210ccedac6e6f/0115622026.jpeg "Automatisierte Sicherheit gehört für viele Unternehmen schon dazu, berichtet Synopsys. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/3a/86/3a861660380c36be8f5c30437efc7f0c/0115482665.jpeg "Visual Studio Code lässt sich als ein Flatpak von Flathub beziehen und auf einer beliebigen unterstützen Distribution mit einem simplen Befehl einrichten. (Bild: Flathub.org / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Secure Software Development Lifecycle, Teil 3 SSDL-Implementierung, Testing und Nachsorge
Um einen sichere Softwareentwicklungs-Lebenszyklus richtig umzusetzen, bedarf es einiger Planung. Doch damit mit der Implementierung allein ist es noch nicht getan, im Nachgang sind noch weitere Schritte erforderlich.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Im ersten Teil dieser Serie haben allgemeine Rahmenbedingungen und erste Denkanstöße für sichere Software-Entwicklung geliefert. Der zweite Teil drehte sich um die zweite Phase der tiefgreifenden Planung und Konzeption des Secure Software Development Lifecycle (SSDL). Nun widmen wir uns mit Blick auf die Empfehlungen des BSI den übrigen drei Phasen.
Phase 3: Implementierung.
Über die Phase der Implementierung soll sichergestellt werden, dass Sicherheit bei der Umsetzung im „erforderlichen Rahmen“ berücksichtigt wird. Die Phase gliedert sich in vier Aktivitäten: Nutzung von „Security APIs“, also beispielsweise das Einsetzen etablierter Verschlüsselungsbibliotheken, statt der Neuerfindung des Rads.
Beim „sicheren Umgang mit Sourcecode“ geht es um Zugriffsregelungen, definiertes Change Management, sichere Produktionssysteme, Signaturen für Patches und so weiter – im Grunde Basics aus der Entwicklung. Es sollen desweiteren „Secure Coding Standards“ genutzt werden, die etwa bei Kryptographie, Validierung oder Zugriffskontrolle zum Einsatz kommen.
Im Paper selbst finden sich im Anhang entsprechende Richtlinien, ansonsten sind erneut die Development Guidelines der Carnegie Mellon University ein guter Ansatzpunkt. Die letzte Aktivität dieser Phase sind die „Security Pushes“: Diese Microsoft-Errungenschaft dient schlicht dazu, die Sicherheit in bestimmten Phasen der Entwicklung zu priorisieren und das gesamte Team auf einzelne Sicherheitsrisiken anzusetzen – was eben entsprechend eingeplant werden muss.
Phase 4: Testen
Die Testing-Phase unterteilt das BSI-Papier in drei Aktivitäten, die weitgehend selbsterklärend sein dürften: „Security Tests“ der definierten Sicherheitsanforderungen, „Penetrationstests“ aus Angreifersicht und abschließend ein „Final Security Review“, der noch offene Lücken aufführt beziehungsweise abschließend zur Freigabe der Anwendung führt.
Phase 5: Auslieferung und Betrieb
In Phase 5 wird es noch einmal sehr ausführlich, vor allem aber sehr spannend – denn vielerorts wird eine erfolgreich entwickelte und letztlich freigegebene Anwendung mehr oder weniger abgehakt. Das genügt aus Sicherheitserwägungen heraus nicht und wird auch anspruchsvollere Kunden nicht befriedigen.
:quality(80)/images.vogel.de/vogelonline/bdb/1490300/1490386/original.jpg "Ausführliche Checklisten für Auftraggeber und -nehmer helfen bei der Umsetzung eines SSDL ganz praktisch. (BSI)")
Secure Software Development Lifecycle, Teil 1
Umsetzung eines SSDL nach BSI-Empfehlung
Die neun Aktivitäten dieser Phase dürften an sich ziemlich selbsterklärend sein. Hier geht es eher darum, ein Bewusstsein für wichtige Aspekte zu schaffen, daher das Ganze wieder in Kurzform:
Aktivität 1 – Sichere Auslieferung der Software
Der Kunde muss die Software so erhalten, dass sie unterwegs nicht manipuliert werden kann; Stichwort Prüfsummen.
Aktivität 2 – Sicherheitsdokumentation
Alle sicherheitsrelevanten Einstellungen, Funktionen und Grundregeln für Nutzung und Betrieb müssen (gegenüber dem Kunden) dokumentiert werden.
Aktivität 3 – Plattformhärtung
Server und Arbeitsplatzrechner, auf denen die Anwendung läuft, sollen gehärtet, also auf das Nötigste abgespeckt und sicher konfiguriert werden – was natürlich gegebenenfalls vom Kunden selbst durchgeführt werden muss.
Aktivität 4 – Security Change Management
Über ein ordentliches Change Management können Sie gewährleisten, das neue Features, Sicherheitspatches und triviale Änderungen Sicherheitsprozesse durchlaufen und entsprechend überwacht klassifiziert, umgesetzt und geprüft werden. Bei größeren Individualprojekten kann es sinnvoll sein, auch den Kunden selbst mit ins Boot zu holen (beispielsweise sollten Patches nicht unbedingt zu Zeiten eingespielt werden, in denen die Anwendung beim Kunden regelmäßig auf Hochtouren läuft).
Aktivität 5 – Security Response
Hier geht es im Wesentlichen um ein verantwortungsvolle Incident Management, also die Überwachung, Überprüfung und Weiterverarbeitung (zum Beispiel durch Weitergabe an das Change Management) jeglicher Störungen und Ausfälle – wofür wiederum ein eigenständiger Prozess aufgesetz werden muss.
Aktivität 6 – 3rd Party Software Vulnerability Monitoring
Alle Komponenten von Dritthersteller müssen ebenfalls überwacht werden. Zur weiteren Lektüre: Security Alerts auf GitHub erledigen genau das für Open-Source-Bibliotheken.
Aktivität 7 – Sichere Standardkonfiguration
Bei Auslieferung der Software muss auf sinnvolle, sichere Defaults geachtet werden, also beispielsweise, dass neue Nutzer standardmäßig nur minimale Rechte haben und keine unsicheren Standardpasswörter verwendet werden.
Aktivität 8 – Web Application Firewall
Dieser Punkt ist eindeutig sehr speziell auf Web-Anwendungen bezogen, generell ist aber der Einsatz einer Firewall sinnvoll. Dies obliegt natürlich wieder meist dem Kunden selbst, der Entwickler sollte aber zumindest entsprechende Dokumentationen und Empfehlungen mitliefern, sofern die Verträge nicht sowieso die vollständige Inbetriebnahme vorsehen.
Aktivität 9 – Wartung
Gleich ob lokale Wartung durch den Kunden oder Fernwartung über einen Servicevertrag, die Arbeiten müssen selbstverständlich ebenfalls sicher durchgeführt werden. Das heißt, es muss ein Berechtigungskonzept vorliegen, Arbeiten und handelnde Personen müssen protokolliert werden und natürlich sollten technische Maßnahmen getroffen werden, dass die Arbeiten auch wirklich nur unter diesen kontrollierten Bedingungen stattfinden können (bei Fernwartung etwa über entsprechend konfigurierte Firewalls).
SDL als andauernder Prozess
Vielleicht ist es Ihnen an einigen Stellen aufgefallen: Immer wieder werden insbesondere in den Planungsphasen Daten erhoben, die in früheren Schritten hätten nützlich sein können. Und mindestens ab Auftragserteilung sollte man SSDL als iterativen Prozess betrachten. Natürlich sind zunächst allgemeine Management-Meetings vonnöten, um Konzept und Ressourcen zu entwickeln und dann in die technischen Details zu gehen.
Mit den technischen Details mehren sich dann aber häufig die Wünsche nach Budget-Aufstockung. Anders ausgedrückt: Mit der entsprechenden Erfahrung lässt sich der Secure Software Development Lifecycle in Projekten vielleicht Wasserfallmodell-artig umsetzen, angemessener scheint mindestens abseits aller Routine aber der agile Ansatz.
Eines sollte selbstverständlich sein: Auch wenn das BSI-Paper nicht explizit darauf eingeht, sollte man nach Abschluss der Entwicklung und nach Auslaufen etwaiger Wartungsverträge Ressourcen für eine Lessons-Learned-Dokumentation einplanen, um bei künftigen Projekten effizient daraus lernen zu können. Aber planen Sie dies von vorneherein mit ein! Ressourcen für bereits an Kunden übergebene Projekte zu bekommen, fällt wohl in den Bereich der reinen Theorie.
:quality(80)/images.vogel.de/vogelonline/bdb/1490500/1490504/original.jpg "Sichere Softwareentwicklung bedarf sorgfältiger Planung und Vorbereitung auf verschiedenen Ebenen sowie passender Metriken. (rawpixel - Pixabay.com)")
Secure Software Development Lifecycle, Teil 2
Konzeption und Planung eines SSDL nach BSI
(ID:45625802)
:quality(80)/p7i.vogel.de/wcms/8a/88/8a88b1c684e97f89450484dda121e83f/0111642364.jpeg "Software-Lieferketten umfassen zahlreiche Prozesse und Ressourcen, deshalb sollten Sie besser überwacht werden. (Bild: <a href=https://pixabay.com/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/12/a9/12a936e680e6729f2301e846fbaa5929/0112753216.jpeg "Agile Entwicklungspraktiken spielen eine entscheidende Rolle bei der Umsetzung von SRE. (© Asha Sreenivas - stock.adobe.com)")