Organisation eines sicheren Entwicklungsprozesses

Bei der Beschäftigung mit dem Thema sichere Softwareentwicklung wird relativ schnell klar, dass wir (als Security-Community) einen umfassenden Kanon an Anforderungen, Tipps, Tools, Beispielen, Checklisten etc. haben, die uns in die Lage versetzen, sehr sichere Software zu entwickeln und zu betreiben. In der Realität basiert jedoch die Mehrheit der erfolgreichen Angriffe nicht auf dem relativ kleinen Prozentsatz fast nicht vermeidbarer Schwachstellen wie Zero-Days etc., sondern auf der Nichtanwendung dieses bekannten Wissens.
Diese Nichtanwendung des Security-Wissens ist jedoch – nach Meinung des Vortragenden – vorwiegend eine organisatorische Herausforderung,
Dieser Vortrag beschäftigt sich daher mit den Hürden, die einer erfolgreichen Umsetzung eines sicheren Entwicklungsprozesses im Wege stehen können, und diskutiert Ansätze, diese zu überwinden oder zu umgehen.
In der Einleitung werden die in der Praxis auftretenden Schwierigkeiten erläutert (z.B. Ansätze und Reichweite der Governance, fehlendes Know-How, Projektprioritäten, unzureichendes Tooling etc.). Im Hauptteil werden dann Lösungswege und -ansätze aufgezeigt, wie eine bessere Umsetzung der Produktsicherheit möglich ist, welche Kosten dadurch entstehen und wie man erfolgreich an das Thema herangehen kann.
Am Ende des Vortrags erfolgt eine vorsichtige Prognose der Trends und Entwicklungen im Umfeld der sicheren Softwareentwicklung.

Lernziele

Organisatorische Hürden für eine sichere Software-Entwicklung erkennen.
(Neue) Ideen für mögliche Lösungsansätze- und -Strategien erkennen und bewerten.
Einen vielleicht sehr simplen Rat für einen Neustart in der sicheren Entwicklung erfahren.