Sichere Software agil entwickeln mit OWASP SAMM 2.0
Die Version 2.0 von OWASP SAMM – einem der Leuchtturmprojekte des Open Web Application Security Project – wurde im Januar 2020 veröffentlich. Dieser Standard erlaubt es Unternehmen nicht nur, den Reifegrad ihrer Softwareentwicklung hinsichtlich Security zu messen, sondern diesen auch iterativ zu verbessern.
OWASP SAMM definiert in Summe 30 essenzielle Security-Aktivitäten für die Bereiche Governance, Design, Implementation, Verification und Operation. Basierend auf einem detaillierten Fragenkatalog wird es Unternehmen ermöglicht, ihren individuellen Reifegrad nicht nur pro Einzelaktivität, sondern auch hochaggregiert auf die jeweiligen Bereiche sowie den gesamten
Entwicklungsprozess zu ermitteln. Zusätzlich zur Bewertung der Ist-Situation kann auch eine Auswertung der Reifegradeentwicklung über die Zeit einfach dargestellt werden. Dies erlaubt die Visualisierung des Projektfortschritts und einen Abgleich mit den angestrebten Meilensteinen.
Herr Kerbl berichtet von seiner langjährigen Erfahrung mit OWASP SAMM und teilt Tipps und Tricks mit den Zuhörern, wie die zugrundeliegenden Security Aktivitäten erfolgreich in einen etablierten Softwareentwicklungsprozess eingeführt werden können. Dabei werden auch die Fallstricke beleuchtet, die gerne in der Praxis übersehen werden und den Projekterfolg gefährden können.
Vorkenntnisse
Empfohlen werden Kenntnisse im Bereich der Softwareentwicklung. Methodenkenntnisse in Bezug auf DevOps und Agile Entwicklung helfen dabei, den Details des Vortrags zu folgen. Es können aber auch Entwickler im Umfeld klassischer Entwicklungsmethoden viel Wissen aus dem Vortrag mitnehmen und für sich nutzen.
Lernziele
Die Teilnehmer lernen den Standard OWASP SAMM kennen und verstehen, wie die zugrunde liegende Methodik angewendet werden kann, um Security-Aktivitäten in den eigenen Entwicklungsprozess zu integrieren. Darüber hinaus erlernen sie anhand konkreter Erfahrungsberichte, auf welche Bereiche sie sich fokussieren sollten und welche typischen Fallen zu vermeiden sind. Der Vortrag ist somit ein guter Einstieg in das Thema Sichere Softwareentwicklung.