:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/1c/21/1c217e175ccf86245c86b48a7a70f930/0114270577.jpeg "Sysdig und Checkmarx führen Cloud- und Anwendungssicherheit auf einer Plattform zusammen. (Bild: William)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Secure Software Development Lifecycle, Teil 1 Umsetzung eines SSDL nach BSI-Empfehlung
Ein Secure Software Development Lifecycle, kurz SSDL, setzt einen kompletten Sicherheitsprozess über die eigentliche Software-Entwicklung und sollte in keinem Unternehmen fehlen. Einerseits, um teure Behebung von Sicherheitslücken zu verhindern, andererseits weil es von vielen Auftraggebern schlicht erwartet wird.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
Einen guten Ansatzpunkt für sichere Entwicklung liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem „Leitfaden zur Entwicklung sicherer Webanwendungen”. Dessen Modell lässt sich nämlich generell auf Softwareentwicklung anwenden.
Hilfreich ist er in zweierlei Hinsicht: Er bietet eine sehr gute Begründung für SSDL und somit ein gutes Argument für Entwickler und IT-Leiter gegenüber dem Management. Außerdem führt er ein pauschales Phasenmodell für einen SSDL auf, dem auch das Hauptaugenmerk dieses zweiteiligen Artikels gilt.
Doch zunächst zur Argumentation: Natürlich ist sichere Softwareentwicklung unter Umständen ziemlich ressourcenintensiv und insbesondere bei kleineren Unternehmen nicht unbedingt ein willkommener neuer Kostenfaktor im Management. Neben rein fachlichen Argumenten für SSDL liefert das Paper aber vor allem einen Aspekt: Das BSI empfiehlt Auftraggebern aus der öffentlichen Verwaltung, die SSDL-Umsetzung bei Ausschreibungen vorauszusetzen.
Im Auftraggeber-Teil des Papers, das sich ebenfalls unter obiger Adresse findet, hat das BSI auch entsprechende Prüfempfehlungen definiert. Soll heißen: Wer für Bund oder auch Länder und Kommunen arbeiten will, dürfte früher oder später nicht mehr an dem Thema vorbei kommen. Und freilich sieht es in der freien Wirtschaft oft nicht anders aus.
Das 70-seitige PDF beinhaltet neben dem Phasenmodell, einigen Grundlagen, allgemeinen Ratschlägen rund um die Einführung von SSDL und technischen Anforderungen an die Implementierung auch ausführliche Checklisten, die auch einen guten Einblick in die ganz praktischen Maßnahmen liefern – definitiv ein Lesetipp!
:quality(80)/images.vogel.de/vogelonline/bdb/1490500/1490504/original.jpg "Sichere Softwareentwicklung bedarf sorgfältiger Planung und Vorbereitung auf verschiedenen Ebenen sowie passender Metriken. (rawpixel - Pixabay.com)")
Secure Software Development Lifecycle, Teil 2
Konzeption und Planung eines SSDL nach BSI
Im Folgenden lernen wir zunächst alle Phasen in der Übersicht kennen, dazu gibt es ein paar Worte zur eigentlichen Besonderheit des Modells. Anschließend kommen die einzelnen Aktivitäten der Phasen in den Fokus.
Die Phasen in der Übersicht
Die BSI-Studie setzt direkt beim Auftragnehmer an, also quasi mit den Anforderungen des Auftraggebers als Grundbaustein. Um einen Überblick über den gesamten Prozess zu bekommen, hier also stichpunktartig die Phasen im Einzelnen:
- 1. Initiale Planung und Vergabe: Planung benötigter Ressourcen für die Projektplanung beziehungsweise Angebotserstellung.
- 2. Konzeption und Planung: Technische Planung zur konkreten Umsetzung der Sicherheitsanforderungen.
- 3. Implementierung: Umsetzung des Sicherheitskonzepts während der Entwicklungsarbeit.
- 4. Testen: Prüfung der implementierten Sicherheitskonzepte, Berichtserstellung.
- 5. Auslieferung und Betrieb: Gewährleistung eines sicheren Betriebs beim Kunden (Wartung, Change Management etc.)
Die Phasen gewährleisten – sauber umgesetzt – letztlich ein verlässliches Sicherheitskonzept von der der Bewerbung für einen Auftrag bis hin zum laufenden Wartungsvertrag beim Kunden. Welche Aktivitäten in den Phasen wie genau umgesetzt werden müssen, hängt freilich auch vom Schutzbedarf der jeweiligen Anwendung ab. Hilfestellung leisten die Checklisten im Anhang.
Reifegrade
Das Phasenmodell basiert in Teilen auf OWASP SAMM und auch BSIMM, hinzu kommt jedoch ein Reifemodell, um Aussagen darüber zu treffen, wie weit die einzelnen Phasen umgesetzt werden. Gerade im behördlichen Umfeld sind solche Aussagen für die komplexen Ausschreibungsprozesse unerlässlich. Doch es ist generell nur von Nutzen, gegenüber Kunden genau beschreiben zu können, wie weit der eigene Sicherheitsprozess gediehen ist.
Reifegerade
0 – Nicht vorhanden: Mit der Umsetzung wurde noch nicht begonnen.
1 – Ad-Hoc: Teilweise, informell umgesetzt; 0 bis 50 Prozent der Punktezahl für verpflichtenden Aktivitäten.
2 – Partiell: Umsetzung begonnen; 50 bis 99 Prozent der Punktezahl für verpflichtenden Aktivitäten.
3 – Vollständig: Alle Aktivitäten wurden umgesetzt.
4 – Best in Class: Zusätzliche, optionale Aktivitäten wurden umgesetzt.
Über diese Reifegerade können Auftraggeber zum einen das Maß der SSDL-Umsetzung einschätzen und zum anderen potenzielle Auftragnehmer in der Vergabe vergleichen. Die genauen Auswirkungen auf die Vergabe lassen sich dabei eher schwierig prognostizieren: Zumindest die öffentliche Hand ist angewiesen, die „wirtschaftlichsten“ Angebote zu akzeptieren.
Das Einrechnen eines SSDL in eine Wirtschaftlichkeitsbetrachtung ist noch dazu durchaus subjektiv. Generell kann es bei Angeboten aber nur von Vorteil sein, wenn Sie Ihre Expertise bezüglich der Anwendungssicherheit belegen können.
Phase 1: Initiale Planung und Vergabe
Die initiale Planung setzt sich aus insgesamt fünf Aktivitäten zusammen und kann sowohl bei der Angebotserstellung als auch nach Auftragserteilung ansetzen, wenn beispielsweise über einen bestehenden Rahmenvertrag gearbeitet wird. So oder so beginnt der ganze SSDL-Prozess mit der „Analyse der Anforderungen des Auftraggebers“, um überhaupt eine Aussage über Termine und benötigte Ressourcen machen zu können.
Weiter geht es mit der „Identifikation und Bewertung existierender Sicherheitsanforderungen“. Hier werden bereits bestehende Anforderungen möglichst genau definiert aufgelistet. Dazu gehören gesetzliche Bestimmungen wie die DSGVO, innerbetriebliche Vereinbarungen, Rahmenwerke, die allgemein für die Software-Entwicklung angelegt werden müssen, mit verbundenen Unternehmen vereinbarte Standards und so weiter.
Konkret sind das beispielsweise im Bereich funktionaler Sicherheitsanforderungen, Allgemeinplätze wie Passwortanforderungen und bei den gerne vernachlässigten nicht-funktionalen Anforderungen Aspekte wie Zugriffskonzepte für Quellcode oder Serverräume. Im Grunde läuft es auf eine kleine Bestandsaufnahme aller Aspekte hinaus, die „ohnehin“ berücksichtigt werden müssen.
Sofern nicht bereits vom Auftraggeber zur Verfügung gestellt, sollte im nächsten Schritt in Zusammenarbeit mit diesem eine „Business Impact Analyse“ erstellt werden, um klar und deutlich aufzuführen, welche Auswirkungen eine Kompromittierung der allgemeinen Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit auf das Unternehmen haben würde.
Dies ist insbesondere hilfreich, um gegenüber dem Management darzulegen, warum bestimmte Ressourcen benötigt werden und wo die Vorteile der (teuren) SSDL-Maßnahmen liegen. Bei größeren, fachlich versierten Auftraggebern sollten Sie eine solche Analyse bereits im Vorfeld von diesen bekommen können.
Als Aktivität Nummer 4 führt das Paper die „Erstellung des Sicherheitsprojektplans“ auf. Hier kommt also die gute alte Projektplanung zu ihrem Recht: Auf Basis der bislang aufgestellten Anforderungen sollten nun möglichst konkrete Aufwandsschätzungen für alle Aktivitäten in allen Phasen folgen. Unterteilen lässt sich das wie üblich in personelle, finanzielle und sachliche Ressourcen, also alles von der benötigten Arbeitszeit, über Schulungskosten bsi hin zu Sachmitteln wie Räumen, Lizenzen oder Arbeitsmitteln.
Als finalen Schritt empfiehlt das BSI die „Definition einer Software Security Group (SSG)“. Abhängig von der Größe des Unternehmens, beziehungsweise der Entwicklungsabteilung, handelt es sich dabei um eine bereichsübergreifend besetzte Gruppe von Mitarbeitern, die voll- oder teilzeitlich über Sicherheitsmaßnehmen entscheiden beziehungsweise Projektgruppen beraten. In dieser querschnittlichen Organisation sollen Sicherheitsaspekte aus allen Perspektiven (Entwicklung, Betrieb, Management, Kundenbetreuung etc.) diskutiert und (auch projektübergreifend) Maßnahmen beschlossen werden.
Die initiale Planung ist mit vielen Unwägbarkeiten gepflastert, insbesondere, wenn SSDL völlig neu ins Unternehmen kommt. Gerade in dieser Phase sollten Sie genügend Zeit aufwenden, um alle Beteiligten „auf Kurs“ zu bringen – nicht zuletzt, weil einige Mitarbeiter unmittelbar produktive Arbeiten zu Gunsten der Sicherheit reduzieren werden müssen.
Die weiteren Phasen sind meist deutlich konkreter und technischer, so dass sie sich besser planen lassen können. Funktionieren kann es aber nur, wenn alle an einem Strang ziehen und vor allem auch Sinn und Zweck des ganzen Aufwands verstehen – hier unterscheidet sich die SSDL-Einführung nicht im Geringsten von anderen größeren Projekten.
Im nächsten Teil stellen wir die zweite Phase samt ihrer neun Aktivitäten im Detail vor, anschließend folgen die nächsten Phasen und insgesamt 14 weitere Aktivitäten in etwas geraffter Form.
:quality(80)/images.vogel.de/vogelonline/bdb/1490500/1490572/original.jpg "Sichere Software-Entwicklung beginnt und endet nicht auf dem Keyboard, es ist auch eine vernünftig umgesetzte Nachsorge vonnöten. (Fernando Arcos - Pexels.com)")
Secure Software Development Lifecycle, Teil 3
SSDL-Implementierung, Testing und Nachsorge
(ID:45624936)
:quality(80)/p7i.vogel.de/wcms/cf/b8/cfb86aadb58020a2cb92037a97308c57/0113561881.jpeg "Wer sichere Software will, sollte sich nicht nur auf Symptomsuche begeben, sondern prophylaktisch im Software Development Lifecycle ansetzen. (©Witthaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/d9/90d9f809aa825077d89cfe681118ef5a/0111252433.jpeg "Filiz Elmas, Leiterin Strategische Entwicklung Künstliche Intelligenz bei DIN, Christoph Winterhalter, Vorsitzender des Vorstandes von DIN, Robert Habeck, Vizekanzler und Bundesminister für Wirtschaft und Klimaschutz, Prof. Dr. Wolfgang Wahlster, CEA des Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI) und Michael Teigeler, Geschäftsführer Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE (DKE) (v.l.n.r.) (Bild: StefanZeitz)")