File:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf

Security Requirements im Software Development Lifecycle (Daniel Kefer)
Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.
Daniel Kefer kommt ursprünglich aus Tschechien, wo er seit 2007 als Berater mit Application Security Themen (Penetration Testing, Secure SDLC) unterwegs war. Seit 2011 arbeitet er für 1&1, wo er zur Zeit das Application Security Team im Bereich Portal mehrerer Marken leitet. Abgesehen von SecurityRAT arbeitet er in seiner Freizeit noch am OWASP SAMM Projekt.