Shifting Left mit DevSec Story Kitchen

Sicherheit von Anfang an in den Entwicklungsprozess zu integrieren ist für viele Teams eine Herausforderung. Die Story-basierten Methoden der DevSec STORY KITCHEN unterstützen dabei, Sicherheit im Entwicklungsprozess bereits in der Planungsphase kreativ mitzudenken. Dazu haben wir drei Methoden näher beleuchtet und weiterentwickelt:

  • User Security Stories
  • Akzeptanzkriterium
  • Backlog Hacking

Eine User Security Story orientiert sich im Wesentlichen an einer klassischen User Story, die im Rahmen der agilen Softwareentwicklung zur Spezifikation von Anforderungen eingesetzt wird. Andererseits lassen sich Sicherheitsanforderungen auch als sogenanntes Akzeptanzkriterium definieren. Das Backlog Hacking schließlich betrachtet die Software aus der Sicht eines potentiellen Angreifers und bietet die Möglichkeit, Bedrohungen frühzeitig zu erkennen.

Wann und unter welchen Voraussetzungen setzt man die Methoden im Entwicklungsprozess ein?

Diese Fragen beantworten wir mit Best Practices und Erfahrungsberichten aus der Praxis. Denn, wie auch in einer echten Küche gilt: Nicht jedes Rezept ist für jede Situation die beste Lösung!

Vorkenntnisse

Der Vortrag richtet sich an Anfänger:innen und Fortgeschrittene. Die Grundlagen basieren teilweise auf Methoden der agilen Softwareentwickelung; daher ist ein Grundverständnis der agilen Softwareentwicklung von Vorteil, aber keinesfalls notwendig.

Lernziele

Mit der DevSec STORY KITCHEN lernt man Methoden kennen, die in verschiedenen Phasen der Softwareentwicklung unterstützen, Sicherheit kreativ und konsequent innerhalb des Entwicklungsprozesses mitzudenken. Nach dem Vortrag ist man in der Lage, anhand der vorgestellten STORY KITCHEN Roadmap verschiedene Methoden auf eigene Softwareprojekte in der Praxis anzuwenden.

Speaker

 

Susanne Kießling
Susanne Kießling begleitet beim Institut für innovative Sicherheit der Hochschule Augsburg das Thema Human Centered Security. Aktuell ist sie Teil des interdisziplinären Forschungsprojektes HITSSSE - Höhere IT-Sicherheit durch sichere Softwareentwicklung. Ziel ist es, Tools zu entwickeln, die Softwareentwickler:innen dabei unterstützen, Sicherheit von Anfang an im Entwicklungsprozess mitzudenken.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden