Es ist gute Industriepraxis, bei neu entwickelter Software vor der Auslieferung ein Sicherheitsaudit, meist in Form eines Penetration Test, durchzuführen.
Das Risiko bei diesem Vorgehen ist jedoch, dass Behebungsmassnahmen für so spät identifizierte Schwachstellen den Auslieferungstermin der Software verzögern.
Daher ist es besser, wenn das Sicherheits-Budget breiter über die ganze Entwicklung der Software verteilt wird.
In einer ersten Phase werden die Architekturpläne begutachtet und die wichtigsten Sicherheitsanforderungen definiert. Zu diesen Anforderungen gehören zwingend in den CI/CD Pipelines automatisierte Sicherheitstests. Insbesondere kann so sichergestellt werden, dass verwundbare Bibliotheken zeitnah aktualisiert werden.
Empfohlen ist auch, in dieser frühen Phase die Entwickler für Sicherheitsthemen zu trainieren und über Hilfsmittel für selbständige Sicherheitschecks zu informieren.
Nachdem die Basis-Infrastruktur des Software-Projekts steht, kann dann ein erster technischer Test auf der Entwicklungsumgebung und im Quellcode durchgeführt werden. Zielt dabei ist primär, systematische Fehler frühzeitig zu korrigieren. Dieser Kurztest kann je nach Dauer der Entwicklung wiederholt werden.
Am Schluss wird kurz vor Auslieferung der Software diese nochmals in einem Whitebox-Ansatz auf Herz und Nieren geprüft und ein Bericht für Endkunden verfasst. Idealerweise treten bei diesem letzten Test keine Schwachstellen mehr zutage, womit auch einem termingerechten Go-live nichts im Wege steht.
Limacher Informationssicherheit GmbH hat diverse Entwicklungsprojekte über längeren Zeitraum begleitet, Architektur-Reviews durchgeführt, Sicherheitsmassnahmen formuliert, Software-Entwickler bezüglich Sicherheit geschult, statische und dynamische Code-Analyse automatisiert und natürlich Penetration Tests durchgeführt. Entwickeln Sie selber Software für Kunden oder möchten Sie eine beauftragte Softwareentwicklung sicherheitstechnisch begleiten lassen? Dann melden Sie sich für einen unverbindlichen Beratungstermin.