Shift left, Security by Design und agile Entwicklung – Erfahrungsbericht und Strategien aus der Praxis

"Shift left!" – eine häufige Forderung für die Entwicklung sicherer Software. Gemeint ist die frühzeitige Beachtung und Überprüfung von Sicherheitsaspekten während des Softwarelebenszyklus.

Die Frage nach der Vereinbarkeit sicherer und agiler Entwicklungsmethoden ist besonders für sicherheitskritische Anwendungen relevant. Die Nutzung verschiedener Tools und Prozesse soll den "Shift Left" unterstützen. Das versprochene Ergebnis ist ein sicheres Softwareprodukt.

Doch kann dieses Versprechen aktuell eingehalten werden? Was führt zur Divergenz zwischen Entwicklungsalltag und Idealvorstellung? Wie müssen agile Prozesse gestaltet werden um „Security by Design“ zu erlauben? Ein Erfahrungsbericht.

Vorkenntnisse

* Kenntnis des Software Development Life Cycle
* Grundwissen zu agilen Entwicklungsmethoden (insbesondere Scrum)
* Erfahrungen in der Entwicklung sicherer Software oder eine Sensibilisierung für die Probleme des NFR-Engineerings (non-functional requirements)
* Grundkentnnisse bzgl. der Bewertung von Softwaresicherheit, Secure Coding Guidelines

Lernziele

* Sensibilisierung für die unterschiedlichen Belange und Sichtweisen der IT-Security- und Entwicklungs-Communities auf die Softwareentwicklung
* Erhöhung des Bewusstseins, dass sicherheitsorientierte Entwicklung, auch für "nicht sicherheitskritische Software" in Zeiten des IoT- und Cloud-Computing notwendig ist.
* Idealvorstellungen eines Secure SDLC
* "Best Practices" für die agile Entwicklung sicherer Software
* NFSM-Erweiterung („non-functional security monitoring“) für Scrum und erste Erfahrungswerte aus der Praxis im Bereich eingebetteter Systeme und Webapplikationen