Floragasse 7 – 5th floor, 1040 Vienna

SSDLC-Gap-Analyse

Sind Sie bei Ihrem Softwareprodukt immer wieder mit gleichartigen Sicherheitsproblemen konfrontiert? Oder gibt es gesetzliche oder kundenseitige Anforderungen, darzulegen, wie Sicherheit im Entwicklungsprozess sichergestellt wird? Sind Sie unsicher, was es bedeutet, Sicherheit abgesehen von sicherer Programmierung zu fördern und zu messen? Mit einer SSDLC-Gap-Analyse wird klar, wo es blinde Flecken gibt und wo man schon kurz davorsteht, einen hohen Reifegrad zu erreichen.

KundInnen schätzen an uns die pragmatische Herangehensweise an das Thema. Wir verfolgen nicht das Ziel, überall den maximalen Reifegrad zu erreichen, sondern streben eine möglichst effiziente und zur Organisation passende Steigerung der Reife an.

Unsere Leistung

Softwareschwachstellen haben ihren Ursprung oft schon früh im Softwareentwicklungsprozess und stellen häufig nur Symptome für tieferliegende Probleme dar. Eine späte Behebung oder ein Entgegenwirken an der falschen Stelle kann einer Organisation einen immensen „stillen“ wirtschaftlichen Schaden zufügen, ohne dass ein Bewusstsein für dessen Ursache da ist. Gleichzeitig bleibt das Sicherheitsniveau dabei oft verbesserungswürdig.

Bei der Gap-Analyse wird der Secure Software Development Lifecycle (SSDLC) systematisch auf Prozessschwächen untersucht, die eine effiziente, wirtschaftliche und sichere Entwicklung von Software erschweren oder verhindern. Als Basis wird das OWASP Software Assurance Maturity Model (SAMM) herangezogen. OWASP SAMM ist ein Open-Source-Framework, das Organisationen helfen soll, den Reifegrad der Sicherheit im Softwareentwicklungsprozess systematisch zu beurteilen und eine Softwaresicherheitsstrategie zu formulieren.

Überblick über die Bereiche und Aktivitäten des OWASP SAMM

Als Basis dient der OWASP-SAMM-Fragebogen, der detaillierte Fragen zu jedem Bereich beinhaltet und in dem ein Berechnungsschema hinterlegt ist. Aus diesem Berechnungsschema ergibt sich eine Grafik, die überblicksmäßig den Reifegrad in den oben sichtbaren Aktivitäten darstellt. Es ist nicht das Ziel, überall den höchsten Reifegrad zu erreichen, oder sich gar mit anderen Organisationen zu messen, sondern für sich selbst systematisch herauszufinden, welche der vorhandenen und etablierten Werkzeuge für das eigene Umfeld die effektivsten sind.

Was beinhaltet die SSDLC-Gap-Analyse?

  1. Systematische Reifegradbewertung des sicheren Softwareentwicklungszyklus nach OWASP SAMM.
  2. Einen schriftlichen Endbericht, der das Ergebnis verständlich aufbereitet dokumentiert und in einem Managementsummary vorstandstauglich zusammenfasst.
  3. Eine Abschlusspräsentation, in der die Ergebnisse diskutiert werden und ein gutes Verständnis dafür geschaffen werden soll. Die Präsentation wird an die jeweils gewünschte Zielgruppe angepasst (Entwicklungsteam, Entwicklungsleitung, IT-Leitung, Vorstand, etc.).

Benefits

  • Systematisch Prozessschwächen in der sicheren Softwareentwicklung erkennen.
  • Beim Thema Sicherheit in der Softwareentwicklung nicht hinterherhinken, sondern Probleme früh erkennen und diese effizient, wirtschaftlich und systematisch beheben.
  • Die Sicherheit und Qualität der Softwareprodukte erhöhen, damit das Image verbessern und Compliance-Anforderungen auf sinnvolle und wirtschaftliche Weise erfüllen.