Shift left, Security by Design und agile Entwicklung – Erfahrungsbericht und Strategien aus der Praxis

"Shift left!" – eine häufige Forderung für die Entwicklung sicherer Software. Gemeint ist die frühzeitige Beachtung und Überprüfung von Sicherheitsaspekten während des Softwarelebenszyklus.

Die Frage nach der Vereinbarkeit sicherer und agiler Entwicklungsmethoden ist besonders für sicherheitskritische Anwendungen relevant. Die Nutzung verschiedener Tools und Prozesse soll den "Shift Left" unterstützen. Das versprochene Ergebnis ist ein sicheres Softwareprodukt.

Doch kann dieses Versprechen aktuell eingehalten werden? Was führt zur Divergenz zwischen Entwicklungsalltag und Idealvorstellung? Wie müssen agile Prozesse gestaltet werden um „Security by Design“ zu erlauben? Ein Erfahrungsbericht.

Vorkenntnisse

* Kenntnis des Software Development Life Cycle
* Grundwissen zu agilen Entwicklungsmethoden (insbesondere Scrum)
* Erfahrungen in der Entwicklung sicherer Software oder eine Sensibilisierung für die Probleme des NFR-Engineerings (non-functional requirements)
* Grundkentnnisse bzgl. der Bewertung von Softwaresicherheit, Secure Coding Guidelines

Lernziele

* Sensibilisierung für die unterschiedlichen Belange und Sichtweisen der IT-Security- und Entwicklungs-Communities auf die Softwareentwicklung
* Erhöhung des Bewusstseins, dass sicherheitsorientierte Entwicklung, auch für "nicht sicherheitskritische Software" in Zeiten des IoT- und Cloud-Computing notwendig ist.
* Idealvorstellungen eines Secure SDLC
* "Best Practices" für die agile Entwicklung sicherer Software
* NFSM-Erweiterung („non-functional security monitoring“) für Scrum und erste Erfahrungswerte aus der Praxis im Bereich eingebetteter Systeme und Webapplikationen

 

Speaker

 

Kim Hartmann
Kim Hartmann ist Senior Consultant und Forscher des Cyber- und Informationssicherheit Ressorts des Conflict Studies Research Centre in Großbritannien und EU-Gutachter für Cybersicherheits- und "Cyber Risk"-Projekte. Sie blickt auf über ein Jahrzehnt Forschung und Beratung von Regierungs-, Militär- und Industriekunden in den Bereichen Cybersicherheitsrisiken in Netzwerken und eingebetteten Systemen (insbesondere UAVs), Datenschutz und sichere Softwareentwicklung zurück.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsoren

COTECH
RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden