Der lange Weg zum sicheren Code
Security wird im Allgemeinen als Eigenschaft des Codes gesehen. In diesem Vortrag möchte ich argumentieren, dass die relevante Metrik nicht ist, ob der Code sicher ist, sondern ob bzw. wie leicht man den Nachweis dafür erbringen kann.
Daraus ergeben sich einige weiterhelfende Leitplanken, die man zukünftig bei der Softwareentwicklung berücksichtigen kann – und sollte!
Vorkenntnisse
Der Vortrag richtet sich sowohl an Programmierer als auch an Manager/Projektleiter und wird daher technisch nicht zu sehr ins Detail gehen, und wenn dann nur als illustrierendes Beispiel. Wer schon einmal an Softwareentwicklung beteiligt war, wird hoffentlich problemlos folgen können.
Lernziele
Das bisherige Verfahren für sicheren Code besteht im Wesentlichen daraus, nach Lücken zu suchen und diese zu schließen. Dieser Weg funktioniert offensichtlich nicht gut. Dieser Vortrag versucht Metriken zu entwickeln, mit denen man möglichst früh im Entwicklungsprozess wichtige Entscheidungen so treffen kann, dass das Ergebnis besser wird -- und zwar selbst dann, wenn sich doch Bugs einschleichen.