Version 2 dieses Standards wurde im Januar 2020 veröffentlicht und eignet sich inzwischen auch sehr gut für moderne Entwicklungsmethoden wie agile Entwicklung und DevOps.
Nachdem ich einen kurzen Überblick über OWASP SAMM gegeben hatte, vermittelte ich Tipps und Tricks für die Einführung von Security Aktivitäten in den eigenen Software Entwicklungsprozess. Dabei präsentierte ich sowohl, was in der Praxis gut funktioniert, als auch, welche Fallstricke es zu vermeiden gilt.
Hier sind ein paar der wesentlichen Erkenntnisse aus meinem Vortrag:
1) Es ist unerlässlich in das eigene Personal zu investieren. Schulen sie Ihre Mitarbeiter in Bezug auf Software-Sicherheit. Eine solide Sicherheitskultur aufzubauen ist schwierig, zahlt sich aber am Ende aus. Das Buy-in von allen Beteiligten zu erhalten ist von entscheidender Bedeutung. Es ist essenziell die eigenen Mitarbeiter zu befähigen, Security-Probleme zu verstehen und darauf basierend die richtigen Entscheidungen zu treffen.
2) Die umfassende Implementierung von Sicherheitsaktivitäten im Entwicklungsprozess mit einem Big-Bang-Ansatz schlägt häufig fehl. Gehen sie stattdessen Schritt für Schritt vor und bauen sie das Security Niveau kontinuierlich auf. Messen Sie regelmäßig, was sie bereits erreicht haben, und korrigieren sie gegebenenfalls den Kurs.
3) Definieren Sie klare und spezifische Sicherheitsanforderungen für Ihre Anwendung während der Entwurfsphase. Stellen sie sicher, dass diese im gesamten Entwicklungslebenszyklus berücksichtigt werden. Entwerfen sie eine sichere Architektur, implementieren sie die Funktionen ausreichend resilient gegen Angriffe, führen sie Sicherheitstests durch und schützen sie Ihre Anwendung auch im laufenden Betrieb. Jede einzelne Sicherheitsaktivität muss einem übergreifenden Plan folgende, der sich direkt aus den Sicherheitsanforderungen ableiten lässt.
Nach mehr als einer Stunde dicht gepackt mit Informationen zum Thema sichere Software Entwicklung konnten die Teilnehmer noch Fragen in der vom OWASP Vienna Chapter Team moderierten Q&A-Session stellen. Viele nutzten diese Gelegenheit und nachdem alle Fragen beantwortet waren, ging die Veranstaltung gegen 20 Uhr zu Ende.
Es ist großartig zu sehen, dass immer mehr lokale OWASP-Initiativen Fuß fassen, und ich freue mich bereits auf die nächsten Treffen hier in Wien. Obwohl die virtuelle Ausgabe dieses Meetings ein voller Erfolg war, hoffe ich, meine Kollegen und Freunde aus der lokalen Security-Community bald wieder persönlich zu treffen. Wenn sie an zukünftigen Veranstaltungen teilnehmen möchten, registrieren sie sich am besten gleich auf der OWASP Vienna Meetup Gruppe.
Hier gibt es noch meine Slides zum Vortrag
![[Translate to German:] Thomas Kerbl](/fileadmin/user_upload/sec-consult/Dynamisch/Blogartikel/Authors/thomas-kerbl_sec-consult.jpg "[Translate to German:] Thomas Kerbl")