Sichere Softwareentwicklung beginnt bereits früh im Entwicklungsprozess: Fehlen Security-Elemente schon am Anfang der Entwicklung, steigt die Wahrscheinlichkeit, dass die Softwaresysteme oder Produkte bei der Auslieferung kritische Sicherheitsschwachstellen beinhalten, die sowohl für den Hersteller als auch für den Systembetreiber Security-Risiken erzeugen. Sie können sich am gesamtem Weg zu einem Secure Software Development Lifecycle auf die Unterstützung durch Limes Security verlassen. Sei es, um Softwaresysteme auf kritische Sicherheitsschwachstellen zu testen, bei der Ursachenermittlung und Behebung zu unterstützen, den bestehenden Softwareentwicklungsprozess zu analysieren oder die Integration von Security-Aktivitäten in die Entwicklungsabläufe voranzutreiben. Limes Security hat langjährige Erfahrung in der Unterstützung von Entwicklern und Herstellern bei der Einführung und Verbesserung von Security in der Softwareentwicklung, gestützt durch den Standardteil IEC 62443-4-1.
Was brauche ich, um ein sicheres Produkt zu entwickeln?
Wir begleiten und unterstützen Sie über den ganzen Entwicklungsprozess hinweg.
Analyze and improve your secure development lifecycle
Define and measure security-related activities
Build a balanced software security assurance program
Unsere Dienstleistungen
Warum wir scheitern, sichere Software zu entwickeln
Wird Security in einem Produkt umgesetzt, sieht sich die Entwicklung in den meisten Fällen von zumindest einem der folgenden fünf Probleme betroffen, die durch die Einführung eines Secure Software Development Lifecycle adressiert und kompensiert werden können.
FAQs
Brauche ich einen definierten Development Lifecycle um Security machen zu können?
Nein, Sie können Ihre Kunden auch so lange über Schwachstellen stolpern lassen, bis das Produkt durch viele Korrekturen endlich einen halbwegs sicheren Zustand erreicht hat. Oder Sie nehmen das Thema Security für Ihre Produktentwicklung ernst und betrachten es als einen wichtigen Qualitätsbestandteil, der nur durch ein wohldefiniertes Vorgehen (also einen Secure Development Lifecycle) effizient und nachhaltig für Ihre Produkte erreicht werden kann.
Ich bin bereits ISO27001 zertifiziert. Brauche ich das noch zusätzlich?
Auch wenn es manchmal fälschlicherweise damit in Zusammenhang gebracht wird, ist die ISO 27001 keine Norm für die Entwicklung sicherer Produkte. Die ISO 27001 hat Ihre Stärke bei der Errichtung eines Information Security Management Systems (ISMS) zum Schutz der eigenen IT-Landschaft und Informationen. Sie streift dabei nur am Rande das Vorgehen bei der Entwicklung sicherer Produkte. Die IEC 62443-4-1 hingegen unterstützt bei der Umsetzung von Maßnahmen und beschreibt Anforderungen an die Entwicklung sicherer (in Form von: secure, nicht safety) Produkte.
Ich mache bereits Security Testing. Warum muss ich mir über einen Secure Development Lifecycle Gedanken machen?
Security Testing ist zwar ein wichtiger Schritt zur Entwicklung sicherer Produkte, Security kann aber nicht in ein Produkt „hineingetestet“ werden. Vor allem ist es sehr teuer, Schwachstellen erst spät durch Tests zu entdecken, an Stelle sie proaktiv zu vermeiden. Deshalb gilt das Gleiche wie z.B. bei Qualität und Safety: Security muss ein geplanter, integrierter Bestandteil der Produktentwicklung sein, bei dem in jeder Phase der Entwicklung die richtigen Maßnahmen ergriffen werden.