75 Prozent aller Hacker-Attacken erfolgen auf Applikationslevel (vgl. Gartner). Die Herausforderung „sichere Applikationen“ bereitzustellen ist komplex – und lässt sich nicht alleine auf „Coding“ reduzieren. Entscheidend ist ein integrativer Ansatz. Die neuen IT-technischen Anforderungen orientieren sich an gängigen „Best Practise Frameworks“ für sichere Applikationen – angepasst an die heutige Komplexität des Software-Entwicklungs-Environments. Um deren Anwendung sicherzustellen, bedarf es einer prozessualen Verankerung im Unternehmen und idealerweise einer „Auditierung“ innerhalb des Application Lifecycles.

Vorgaben für sicheres Coding

Vorgaben für sicheres Coding

Wir definieren für Sie ein Rahmenwerk zur Implementierung der richtigen Prozesse und Regeln für eine sichere Applikationsentwicklung. Abhängig von den in Ihrem Unternehmen eingesetzten Entwicklungs-Frameworks werden „Best Practises“ wie z.B. OWASP, CAPEC  oder CWE auf Ihre Bedürfnisse angepasst und weiter detailliert. Das Ergebnis sind spezifische Entwickler-Leitfäden. Unser gemeinsames Ziel ist es, dass Ihre Applikationen bereits im Development-Prozess gegen Angriffe geschützt werden („security by design“).

Richtlinien oder Vorgaben für sichere Applikationsentwicklung

Richtlinien / Prozessvorgaben für sichere Applikationsentwicklung

Die Richtlinien für sichere Applikationsentwicklung behandeln unterschiedliche Ebenen. Denkbar wären z.B. eine Entwicklungs-Governance, die Ausgestaltung relevanter Prozesse sowie die einzusetzenden Tools und Werkzeuge.  Neben Vorgaben im engeren Sinne, sind ergänzend auch angrenzende Bereiche zu integrieren. Als Beispiel wäre der Einkauf zu nennen, um externe Entwicklungs-Teams in die bestehende Prozesslandschaft und Sicherheitsstandards sinnvoll zu integrieren. Wir helfen Ihnen umfassend.

Aufzählungspunkt_1

Codeanalyse

Unsere Experten stehen Ihnen bei der Implementierung von Codeanalysen genauso zur Verfügung wie bei ihrer Auswertung.  Gemeinsam bestimmen wir die für Sie sinnvollen Werkzeuge für automatisierte oder teilautomatisierte Softwaretests oder gezielte Funktionstests. Entscheidend ist nach der Analyse auch der Mitigationspfad – hier gilt es wirksame Gegenmaßnahmen zu implementieren und damit die Angriffsvektoren „zu schließen“. Im Rahmen eines „Continuous Improvements“ werden „neue“  Codeschwächen und deren Mitigations-maßnahmen den unternehmenseigenen Entwicklungsvorgaben hinzugefügt.

Aufzählungspunkt_1

Development Framework

Häufig werden mögliche Angriffsvektoren auf die Entwicklungsumgebun-
gen (und im „worst case“ der Durchgriff auf Produktivdaten) unterschätzt. Das betrifft nicht nur die „klassische Softwareentwicklung“ sondern insbesondere auch innovative Entwicklungsframeworks z.B. Container-Applikationen.  Daher sollten auch die in der Anwendungsentwicklung verwendeten Methoden und Werkzeuge einem Sicherheits-Check unterzogen werden.  Darüber hinaus sind speziell gesicherte Entwicklungsumgebungen und ein dediziertes Autorisierungs- und Authentisierungskonzept auch in den Entwicklungs- und Testumgebungen erforderlich.

Bringen Sie die Sicherheit in Ihrem Unternehmen auf das nächste Level!

ThinkSecure
PMC Services GmbH

Wankelstraße 14
70563 Stuttgart

+49 711 674 287 14