leer

Secure Coding Guidelines und Policys, sonstige Leitlinien und Standards

Um ein wirklich sicheres Stück Software zu entwerfen, zu entwickeln und zu betreiben, bedarf es eines sowohl technischen als auch organisatorischen Sicherheitsbewusstseins bei allen Beteiligten. Kleine handwerkliche Fehler in der Umsetzung können große wirtschaftliche Folgen haben, insbesondere dann, wenn sie sich in leicht zu findenen und einfach auszunutzenden Schwachstellen manifestieren.

Guidelines und Policys

Die unmittelbaren technischen Auswirkungen haben oft genug noch viel dramatischere Folgen für das Unternehmen selbst. Sei es durch den Verlust der IT-Grundschutzziele (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) und den daraus resultierenden Implikationen als auch durch zum Teil verheerende Image-Schäden bei Kunden, Lieferanten und Partnern durch schlechte Presse.

Schulungen, Seminare, Workshops oder Awareness-Maßnahmen sind der erste Schritt in die richtige Richtung.

Dennoch gilt: Nach einer Schulung ist vor einer Schulung!

Um das Erfahrene auch nachhaltig bei Ihren Mitarbeitern zu festigen, sollten Sie ihnen auch etwas Handfestes für den Alltag mit auf den Weg geben:

Mit einem einfachen, leicht verständlichen Secure Coding Leitfaden für Entwickler mit den "Dos and Don'ts" der sicheren Softwareentwicklung ist schon eine Menge gewonnen. Diese Guidelines können selbstverständlich konkret an die bei Ihnen eingesetzten Sprachen und Frameworks angepasst werden. Nicht nur für die Entwicklung, auch für den Entwurf, den Betrieb oder das Rollout lassen sich solche Richtlinien sehr gut einsetzen, um die Mitarbeiter – im wahrsten Sinne des Wortes – auf den richtigen und vor allem sicheren Weg zu bringen.

Auch Ergebnisse aus Penetrationstests, Code Reviews oder Source Code Analysen können direkt und unmittelbar in Schulungen und daran anknüpfend in "Ihre" Guidelines gegossen werden.

Auf der etwas abstrakteren Management-Ebene helfen schließlich die Policys, den gesamten "Prozess der Sicherheit" festzulegen und zu überwachen. Eine Secure Coding Policy unterstützt etwa durch eine dazu passende Checkliste den Projektleiter oder Auftraggeber dabei, die entsprechende Umsetzung seitens der Entwickler nachvollziehen und ggf. einfordern zu können. Neben der reinen Entwicklung bieten sich Policys mit Checklisten und dazu passende operative Guidelines auch für den sicheren Entwurf, das Rollout und den täglichen Betrieb an. Im Idealfall bilden sie ein solides Fundament für einen vollständigen Secure Software Development Lifecycle.


Weiter: Schulungen und Workshops