Floragasse 7 – 5th floor, 1040 Vienna

SSDLC-Gap-Analyse

Softwareschwachstellen haben ihren Ursprung häufig schon früh im Softwareentwicklungsprozess, beispielsweise weil Architektur und Design bereits inhärente Schwachstellen beinhalten, weil Sicherheit bei der Anforderungsanalyse zu wenig beachtet wurde oder weil Bedrohungen nie systematisch analysiert wurden. Diese Art von Schwachstellen zu beheben ist nicht nur schwierig für das Entwicklungsteam, sondern kosten dem Unternehmen oft enorme Geldsummen. Es ist kein Mythos, dass die Kosten beträchtlich steigen, je später im Prozess die Beseitigung von Problemen stattfindet.

Bei der Gap-Analyse wird der Secure Software Development Lifecycle (SSDLC) systematisch auf Prozessschwächen untersucht, die eine effiziente, wirtschaftliche und sichere Entwicklung von Software erschweren oder verhindern. Als Basis wird das OWASP Software Assurance Maturity Model (SAMM) herangezogen. OWASP SAMM ist ein offenes Framework, das Organisationen helfen soll, den Reifegrad des Softwareentwicklungsprozesses systematisch zu beurteilen und eine Softwaresicherheitsstrategie zu formulieren (https://owaspsamm.org/).

Als Basis dient der OpenSAMM-Fragebogen, der detaillierte Fragen zu jedem Bereich beinhaltet und in dem ein Berechnungsschema hinterlegt ist. Aus diesem Berechnungsschema ergibt sich eine Grafik, die überblicksmäßig den Reifegrad in den oben sichtbaren Aktivitäten darstellt.

Was beinhaltet die SSDLC-Gap-Analyse?

  1. Systematische Reifegradbewertung des sicheren Softwareentwicklungszyklus nach OWASP SAMM.
  2. Einen schriftlichen Endbericht, der das Ergebnis verständlich aufbereitet dokumentiert und in einer Management Summary vorstandstauglich zusammenfasst. Der Bericht beinhaltet neben empfohlenen Maßnahmen auch eine grobe qualitative Aufwandsschätzung, damit die Maßnahmen gut priorisiert werden können.
  3. Eine Abschlusspräsentation, in der die Ergebnisse diskutiert werden und ein gutes Verständnis dafür geschaffen werden soll. Die Präsentation wird an die jeweils gewünschte Zielgruppe angepasst (Entwicklungsteam, Entwicklungsleitung, IT-Leitung, Vorstand, etc.).

Vorteile der SSDLC-Gap-Analyse

  • Erkennen Sie systematisch Prozessschwächen in der sicheren Softwareentwicklung.
  • Hinken Sie beim Thema Sicherheit in der Softwareentwicklung nicht hinterher, sondern erkennen Sie früh Probleme und beheben Sie diese effizient, wirtschaftlich und systematisch.
  • Erhöhen Sie die Sicherheit und Qualität Ihrer Softwareprodukte, verbessern Sie damit Ihr Image und erfüllen Sie Compliance-Anforderungen auf sinnvolle und wirtschaftliche Weise.

This Website uses Cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close