Der Vortrag gibt einen einführenden Überblick über sichere Softwareentwicklung und bietet so einen guten Einstieg für die weiteren Vorträge der Konferenz.
Begonnen wird mit Beispielen aus der Praxis, die zeigen, welche Folgen es haben kann, wenn Sicherheit im Softwareentwicklungsprozess vernachlässigt wird. Für diese Beispiele werden wir gemeinsam mit dem Auditorium die Ursachen für das jeweilige Fehlverhalten identifizieren und diese in die jeweilige Phase im Softwareentwicklungsprozess einordnen, wo der Fehler entstanden ist. So werden die Zuhörer gedanklich auf den dann folgenden Vortrag eingestimmt. Im Verlauf des Vortrags werden die identifizierten Bedrohungen an geeigneten Stellen wieder aufgegriffen und erklärt, wie diese Bedrohungen im Softwareentwicklungsprozess verhindert werden können.
Deutlich wird, dass die Sicherheit einer Anwendung im gesamten Softwareentwicklungsprozess berücksichtigt werden muss – angefangen bei der Anforderungsanalyse bis hin zur Auslieferung und Einrichtung der Anwendung. Dabei sind Maßnahmen zur sicheren Anwendungsentwicklung unabhängig von der verwendeten Entwicklungsmethode.
Teilnehmer erhalten einen Überblick über Vorgehensmodelle und Best Practices für sichere Softwareentwicklung. Anekdoten, Hilfsmittel und Hinweise aus der Praxis helfen den Zuhörern, die Theorie in der Praxis umzusetzen.
Vorkenntnisse
Keine
Lernziele
Der Vortrag vermittelt die Bedeutung von Sicherheit in allen Phasen der Softwareentwicklung.
Die Teilnehmer erhalten einen Überblick über die Anforderungen und Vorgehensweisen im Softwareentwicklungsprozess.
// Petra Barzin
ist bei der Secorvo Security Consulting GmbH verantwortlich für die Schulung und Zertifizierung im Bereich sicherer Softwareentwicklung (TPSSE-Zertifizierungsprogramm). Sie ist Sprecherin des TeleTrusT-TPSSE-Boards sowie vom ISC2 zertifizierte Information Systems Security Professional (CISSP).
// Kai Jendrian
arbeitet in den Bereichen Information Security Management nach ISO 27001 und IT-Grundschutz sowie Sicherheitsarchitekturen und der Sicherheit von (Web-)Anwendungen. Er ist zertifizierter ISO 27001 Lead Auditor und vom BSI lizenzierter ISO-27001-Auditor auf Basis von IT-Grundschutz sowie TeleTrusT Information Security Professional (T.I.S.P.) und aktives Mitglied im Board des deutschen OWASP-Chapters.