:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Das Secure Software Development Framework des NIST Warum SSDF auch außerhalb der USA relevant ist
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/53/655336f3d99e1/logo-devops-windhoff-group.png "logo-devops-windhoff-group (https://devops.windhoff-group.de/)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Im Secure Software Development Framework, kurz SSDF, empfiehlt das US National Institute of Standards and Technology einige Best-Practices für sichere Software-Lieferketten. Auch wenn das Framework den Fokus auf die Vereinigten Staaten legt, so ist es doch auch andernorts von Bedeutung.
Mit dem SSDF gibt das National Institute of Standards and Technology (NIST) Unternehmen ein Rahmenwerk an die Hand, um die Vorgaben der US-Regierung für die Sicherheit der Lieferketten besser erfüllen und umsetzen zu können. Dabei geht es insbesondere um die Executive Order 14028 und das Memorandum M-22-18 und die daraus resultierenden Nachweispflichten.
Zusätzlich soll das Framework die Bewertung, das Design und die Umsetzung von Programmen zur Softwareentwicklung unterstützen – und zwar derart, dass bei sämtlichen Prozessen, Verfahren, Werkzeugen und hinsichtlich der Lieferanten, die an der Software-Entwicklung beteiligt sind, Sicherheitsüberlegungen und -kontrollen integriert werden.
Dabei sollte man nicht außer Acht lassen, dass diese erwartete Nutzung gegebenenfalls in weitere Anbieterbeziehungen hineinreicht oder ausgelagerte Entwicklungsverfahren betroffen sind. Soll eine Software in einer stark regulierten Umgebung genutzt werden, muss also nicht nur das betreffende Unternehmen selbst die entsprechenden Normen erfüllen.
Nun wurde das SSDF von der NIST primär für die USA entwickelt. Es hat aber über den engeren geografischen Anwendungsbereich hinaus durchaus praktische Relevanz für andere Länder.
Weithin anwendbare Praktiken für sichere Softwareentwicklung
Das SSDF, wie es derzeit in Version 1.1 des „NIST SP 800-218“- Dokuments definiert ist, besteht aus 42 sogenannten Tasks, die sich auf 19 praktische Empfehlungen verteilen und wie folgt in vier Gruppen zusammengefasst sind:
1. Prepare the Organization (PO) (Vorbereitung des Unternehmens) – An dieser Stelle gilt es, die notwendigen programmunterstützenden Grundlagen zu schaffen, damit ein Unternehmen Mitarbeiter, Prozesse und Technologien für eine sichere Entwicklung in allen Bereichen bereitstellen kann.
2. Protect the Software (PS) (Schutz der Software) – Absicherung der produzierten Software und der zugehörigen Artefakte sowie nachweisliche Transparenz innerhalb der Lieferkette und weitere mehr.
3. Produce Well-Secured Software (PW) (Herstellung gut abgesicherter Software) – Sichere SDLC-Prozesse und -Werkzeuge, Durchführung von Maßnahmen und Tests hinsichtlich der Softwaresicherheit usw.
4. Respond to Vulnerabilities (RV) (Reaktion auf Schwachstellen) – Risiken senken, Probleme adressieren, Disclosure-Prozesse unterstützen usw.
Wer bereits mit dem SSDF vertraut ist, erkennt schnell, dass die in diesen Gruppen behandelten Themen für so gut wie jedes Unternehmen tauglich sind, das mit Software-Entwicklung befasst ist. Immer eingedenk dessen, dass diese bewährten Praktiken auch für Firmen gelten, die lediglich Software von anderen Parteien erwerben.
Letztendlich sollen die im SSDF ausgeführten Praktiken den Sicherheitslevel grundsätzlich erhöhen, aber auch das Bewusstsein für die Sicherheit von Softwareprodukten, Artefakten, der Entwicklungsinfrastruktur sowie der Produktions- und Beschaffungsprozesse schärfen – und zwar in allen Unternehmensbereichen. Dies dient einerseits der Softwaresicherheit als solcher und andererseits dem damit verbundenen Management von Governance, Risiken und Compliance.
Sichere Software-Entwicklung nicht nur in den USA
Software- und Cybersicherheits-Risikomanagement, Standardisierung und Governance sind auf der Prioritätenliste ganz nach oben gerutscht. Umfassende regulatorische Bestrebungen werden weltweit angestoßen. Das schließt auch neue Sicherheitspraktiken, Rahmenwerke und Vorschriften für die Softwareentwicklung und die Lieferketten mit ein.
Diese Vorgaben beschränken sich bei Weitem nicht auf Softwarehersteller, sondern haben Auswirkungen auf Käufer, Importeure und Dienstleister. Die derzeit definierten Verpflichtungen und Anforderungsprofile gehen über einzelne Softwareversionen hinaus und betreffen das breitere Ökosystem der Softwarelieferkette, digitale Produkte, vernetzte Systeme, Technologiedienstleistungen, Finanzunternehmen, kritische Infrastrukturen und weitere mehr.
Neue, auf Software- und Cybersicherheit ausgerichtete Gesetze und Vorschriften wurden gleichermaßen in Europa und im Vereinigten Königreich entwickelt und meist zügig verabschiedet. Zu den europäischen Beispielen zählen der Cyber Resilience Act und der Digital Operational Resilience Act.
Im Vereinigten Königreich sind der Product Security and Telecommunications Infrastructure Act 2022 und die vorgeschlagenen Änderungen an den Network and Information Systems Regulations zu nennen. Sie gelten zusätzlich zu den einzuhaltenden EU-Vorschriften für Unternehmen, die weiterhin den EU-Markt und einen EU-Kundenstamm bedienen oder anderweitig gemeinsame Dienste und Infrastrukturen betreiben wollen.
Was bedeutet das alles nun konkret?
Auch als nicht in den USA ansässiges Unternehmen oder nicht dort ansässiger Softwareanbieter sollten Sie darauf gefasst sein, in den Geltungsbereich des SSDF zu fallen. Etwa dann, wenn Ihre Software indirekt an die US-Regierung geliefert wird oder auf andere Weise in Produkte einfließt, die an die US-Regierung geliefert werden, oder wenn Sie in den USA geschäftlich tätig sind. In all diesen Fällen sollte man damit rechnen, aufgrund des SSDF neuen Compliance-, Gewährleistungs- und Anbietermanagementprozessen unterworfen zu werden.
Eine nachweislich solide Grundlage für die Softwaresicherheit und ein sicheres Produktentwicklungsprogramm stellen Mechanismen zur Verfügung, die ein umfassendes Risikomanagement im Unternehmen und innerhalb der Lieferkette erlauben. Aufgrund dieser Voraussetzungen lässt sich dann auch demonstrieren, dass der Sorgfaltspflicht hinsichtlich der Sicherheit entsprochen wurde. Das SSDF hat hier die Möglichkeit, sowohl das Programmdesign zu unterstützen als auch den Nachweis der Produktsicherheit zu erbringen und zu kommunizieren.
Unternehmen sollten stets zu gesetzgeberischen Initiativen und regionalen Regulierungen auf dem Laufenden sein. Zudem sollten sie, wo immer möglich, die Angleichung und Harmonisierung der regulatorischen Anforderungen an die Softwaresicherheit und Entwicklung berücksichtigen und vorantreiben. Schon allein, um die Komplexität nicht ausufern zu lassen.
Beispiele für Branchenvorschriften und Rahmenwerke für die Sicherheit, einschließlich des SSDF, unterstützen Unternehmen bei der Implementierung eines Softwaresicherheitsprogramms und helfen dabei, die Herausforderungen besser zu meistern – und beim Thema sichere Entwicklung nicht bei null anfangen zu müssen.
Was sollte man tun und wie kann das SSDF helfen?
Stellen Sie sich zunächst folgende Fragen:
- Gibt es im Unternehmen Richtlinien, Standards und Anforderungen für die Softwaresicherheit und die sichere Entwicklung?
- Kenne und verstehe ich den Kontext der Bedrohungslandschaft für meine Software vollumfänglich?
- Verfüge ich über Assessments für Softwaredesign und Risikomodellierung?
- Sind Mechanismen vorhanden, Sicherheitslücken und Schwachstellen zu erkennen, ebenso wie Fehler in Entwicklung und Produktion?
- Bin ich über den Sicherheitsstatus meiner Software und Produkte im Bilde?
- Ist das Unternehmen im Hinblick auf den Compliance-Status der Softwaresicherheit auf dem Laufenden?
- Habe ich die Konfiguration der Tools für den Software Build und die Pipelines überprüft?
- Ist die Entwicklungsinfrastruktur sicher?
- Wie überprüfe ich die Sicherheit von Drittanbieter- und Open-Source-Software?
- Wie trage ich selbst zu einer sicheren Softwarelieferkette bei?
- Wo brauche ich einen besseren Einblick in die Sicherheit meiner Software?
Wer nur eine dieser Fragen mit „Nein“ oder „Weiß ich nicht“ beantwortet, der sollte nicht zögern, sein Software-Development-Programm genauer unter die Lupe zu nehmen und zu überprüfen. Wer sich mit derlei Überlegungen beschäftigt, für den ist das SSDF ein nützliches Instrument.
* Ben Hutchinson ist Associate Principal Consultant bei Synopsys.
(ID:49570067)
:quality(80)/p7i.vogel.de/wcms/a6/b6/a6b65ea5946ffa87bc34d11d6c58c9ff/0109959919.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/3d/2f3da56c6a85a9e51a8dbf30f13405f9/0113657274.jpeg "Software-Anbieter werden vermehrt durch Gesetzgebung und Regularien in die Pflicht genommen. (© EtiAmmos - stock.adobe.com)")