Erstes virtuelles OWASP Vienna Chapter Meeting: Sichere Softwareentwicklung mit OWASP SAMM

news SSDLC

Am 20.04.2020 fand das erste virtuelle Treffen des OWASP Chapters in Wien statt. Ich (Thomas Kerbl – SEC Consult) wurde eingeladen, über meine Erfahrungen beim Einsatz von OWASP SAMM, dem Security Assurance Maturity Model, für sichere Softwareentwicklung zu sprechen.

Illustation zum OWASP Vienna Chapter Meeting - SEC Consult

Version 2 dieses Standards wurde im Januar 2020 veröffentlicht und eignet sich inzwischen auch sehr gut für moderne Entwicklungsmethoden wie agile Entwicklung und DevOps.

Nachdem ich einen kurzen Überblick über OWASP SAMM gegeben hatte, vermittelte ich Tipps und Tricks für die Einführung von Security Aktivitäten in den eigenen Software Entwicklungsprozess. Dabei präsentierte ich sowohl, was in der Praxis gut funktioniert, als auch, welche Fallstricke es zu vermeiden gilt.

 

Hier sind ein paar der wesentlichen Erkenntnisse aus meinem Vortrag:

1) Es ist unerlässlich in das eigene Personal zu investieren. Schulen sie Ihre Mitarbeiter in Bezug auf Software-Sicherheit. Eine solide Sicherheitskultur aufzubauen ist schwierig, zahlt sich aber am Ende aus. Das Buy-in von allen Beteiligten zu erhalten ist von entscheidender Bedeutung. Es ist essenziell die eigenen Mitarbeiter zu befähigen, Security-Probleme zu verstehen und darauf basierend die richtigen Entscheidungen zu treffen.

2) Die umfassende Implementierung von Sicherheitsaktivitäten im Entwicklungsprozess mit einem Big-Bang-Ansatz schlägt häufig fehl. Gehen sie stattdessen Schritt für Schritt vor und bauen sie das Security Niveau kontinuierlich auf. Messen Sie regelmäßig, was sie bereits erreicht haben, und korrigieren sie gegebenenfalls den Kurs.

3) Definieren Sie klare und spezifische Sicherheitsanforderungen für Ihre Anwendung während der Entwurfsphase. Stellen sie sicher, dass diese im gesamten Entwicklungslebenszyklus berücksichtigt werden. Entwerfen sie eine sichere Architektur, implementieren sie die Funktionen ausreichend resilient gegen Angriffe, führen sie Sicherheitstests durch und schützen sie Ihre Anwendung auch im laufenden Betrieb. Jede einzelne Sicherheitsaktivität muss einem übergreifenden Plan folgende, der sich direkt aus den Sicherheitsanforderungen ableiten lässt.

Nach mehr als einer Stunde dicht gepackt mit Informationen zum Thema sichere Software Entwicklung konnten die Teilnehmer noch Fragen in der vom OWASP Vienna Chapter Team moderierten Q&A-Session stellen. Viele nutzten diese Gelegenheit und nachdem alle Fragen beantwortet waren, ging die Veranstaltung gegen 20 Uhr zu Ende.

Es ist großartig zu sehen, dass immer mehr lokale OWASP-Initiativen Fuß fassen, und ich freue mich bereits auf die nächsten Treffen hier in Wien. Obwohl die virtuelle Ausgabe dieses Meetings ein voller Erfolg war, hoffe ich, meine Kollegen und Freunde aus der lokalen Security-Community bald wieder persönlich zu treffen. Wenn sie an zukünftigen Veranstaltungen teilnehmen möchten, registrieren sie sich am besten gleich auf der OWASP Vienna Meetup Gruppe.

Hier gibt es noch meine Slides zum Vortrag

 

Mehr zum Thema

Über den Autor

[Translate to German:] Thomas Kerbl
Thomas Kerbl
SEC Consult Group
Principal Security Consultant

Thomas Kerbl ist bereits seit über 15 Jahren für SEC Consult als Security Consultant tätig. In seiner Rolle als Principal Security Consultant und Teamleiter führt er nicht nur ein Team von Experten, sondern setzt auch nach wie vor Kundenprojekt selbst um. Seit einigen Jahren liegt sein Fokus auf den Themen „Sichere Softwareentwicklung“ und „Security Architektur“, in denen er seine Expertise als ehemaliger Penetration Tester und Security Requirements Engineer einfließen lassen kann.