Shift left, Security by Design und agile Entwicklung – Erfahrungsbericht und Strategien aus der Praxis

"Shift left!" – eine häufige Forderung für die Entwicklung sicherer Software. Gemeint ist die frühzeitige Beachtung und Überprüfung von Sicherheitsaspekten während des Softwarelebenszyklus.

Die Frage nach der Vereinbarkeit sicherer und agiler Entwicklungsmethoden ist besonders für sicherheitskritische Anwendungen relevant. Die Nutzung verschiedener Tools und Prozesse soll den "Shift Left" unterstützen. Das versprochene Ergebnis ist ein sicheres Softwareprodukt.

Doch kann dieses Versprechen aktuell eingehalten werden? Was führt zur Divergenz zwischen Entwicklungsalltag und Idealvorstellung? Wie müssen agile Prozesse gestaltet werden um „Security by Design“ zu erlauben? Ein Erfahrungsbericht.

Vorkenntnisse

* Kenntnis des Software Development Life Cycle
* Grundwissen zu agilen Entwicklungsmethoden (insbesondere Scrum)
* Erfahrungen in der Entwicklung sicherer Software oder eine Sensibilisierung für die Probleme des NFR-Engineerings (Non-function requirements)
* Grundkentnnisse bzgl. der Bewertung von Softwaresicherheit, Secure Coding Guidelines

Lernziele

* Sensibilisierung für die unterschiedlichen Belange und Sichtweisen der IT-Security- und Entwicklungs-Communities auf die Softwareentwicklung
* Erhöhung des Bewusstseins, dass sicherheitsorientierte Entwicklung, auch für "nicht sicherheitskritische Software" in Zeiten des IoT- und Cloud-Computing notwendig ist.
* Idealvorstellungen eines Secure SDLC
* "Best Practices" für die agile Entwicklung sicherer Software
* NFSM-Erweiterung („non-functional security monitoring“) für Scrum und erste Erfahrungswerte aus der Praxis im Bereich eingebetteter Systeme und Webapplikationen

 

Referent

 

Kim Hartmann Kim Hartmann is a senior consultant and researcher at the Cyber and Information Security Department, Conflict Studies Research Centre, UK and an EU-Evaluator. She looks back on over a decade of research and consulting in the fields of cyber security risk assessment in networks and embedded systems (esp. UAVs), data protection and secure software development for governmental, military and industry clients.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsor

RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden