This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Organisationen"

From OWASP
Jump to: navigation, search
m (Hinweis auf Alternative: 'Beispiel-Richtlinie für einen sicheren Software-Entwicklungsprozess' als eigene Seite)
(Update according to German Translation of the Top 10)
 
(4 intermediate revisions by the same user not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate
+
{{Top_10_2013_DeveloperEdition:TopTemplate
    |useprev=PrevLink_Germany_Projekte
+
  |useprev=2013PrevLinkDeveloperEdition
    |usenext=NextLink_Germany_Projekte
+
  |usenext=2013NextLinkDeveloperEdition
    |prev=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=whatsNextforVerifiers|language=de}}
+
  |prev={{Top_10:LanguageFile|text=whatsNextforVerifiers|language=de}}
    |next=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
+
  |next={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
 +
  |year=2013
 +
  |language=de
 
}}
 
}}
==TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) Text noch von 2010 TEST-TEST TEST==
 
  
 +
{{Top_10_2010:SubsectionColoredTemplate
 +
      |{{Top_10:LanguageFile|text=whatsNextforOrganizations|language=de}}
 +
      ||year=2013
 +
}}
 
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=startYourApplicationSecurityProgramNow|language=de}}|year=2013}}
 
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=startYourApplicationSecurityProgramNow|language=de}}|year=2013}}
Anwendungssicherheit ist nicht mehr optional. Organisationen müssen leistungsfähige Ressourcen zur Absicherung ihrer Anwendungen schaffen, um im Umfeld einer steigenden Zahl von Angriffen einerseits und regulatorischen Vorschriften andererseits bestehen zu können. Auf Grund der atemberaubenden Zahl von Anwendungen und Code-Zeilen haben viele Organisationen Probleme, mit dem enormen Umfang an Sicherheitslücken zurecht zu kommen. OWASP empfiehlt den Aufbau eines Sicherheitsleitfadens, um einen Überblick über die Sicherheitsstruktur aller Anwendungen zu erhalten und diese zu verbessern. Um das Sicherheitsniveau zu erhöhen, müssen viele Unternehmensbereiche effizient zusammenarbeiten, von der Entwicklungsabteilung bis zum Management. Die Sicherheitsarchitektur muss transparent sein, damit alle den Stand der Anwendungssicherheit im Unternehmen nachvollziehen zu können. Dies erfordert eine Analyse von Maßnahmen, die die Sicherheit Ihrer Anwendungen durch Reduzierung von Risiken in einer kostengünstigen Weise ermöglicht. Einige der wichtigsten Aufgaben sind:
+
Anwendungssicherheit ist nicht mehr optional. Organisationen müssen leistungsfähige Prozesse und Ressourcen zur Absicherung  
 +
ihrer Anwendungen schaffen, um im Umfeld einer steigenden Zahl von Angriffen einerseits und regulatorischen Vorschriften  
 +
andererseits bestehen zu können. Auf Grund der atemberaubenden Zahl von Anwendungen und Code-Zeilen haben viele  
 +
Organisationen Probleme, mit dem enormen Umfang an Sicherheitslücken zurecht zu kommen. OWASP empfiehlt den Aufbau  
 +
eines Programms zur Anwendungssicherheit, um einen Überblick über die Sicherheitslage aller Anwendungen zu erhalten und  
 +
diese zu verbessern. Um das Sicherheitsniveau zu erhöhen, müssen viele Unternehmensbereiche effizient zusammenarbeiten,  
 +
von der Entwicklungsabteilung bis zum Management. Die Sicherheitsarchitektur muss transparent sein, damit alle die Ziele der  
 +
Anwendungssicherheit im Unternehmen nachvollziehen zu können. Dies erfordert eine Analyse von Maßnahmen, die die  
 +
Sicherheit Ihrer Anwendungen durch Reduzierung von Risiken in einer kostengünstigen Weise ermöglicht. Einige der wichtigsten  
 +
Aufgaben sind:
  
 
{| cellspacing="1" cellpadding="1" border="0" width="100%;"
 
{| cellspacing="1" cellpadding="1" border="0" width="100%;"
Line 14: Line 28:
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
* Führen Sie einen [[SAMM_-_Strategy_&_Metrics_-_1 | Anwendungssicherheits-Leitfaden]] ein und sorgen Sie für dessen Verbreitung.
+
* Führen Sie einen [[SAMM_-_Strategy_&_Metrics_-_1 | <u>Anwendungssicherheits-Leitfaden</u>]] ein und sorgen Sie für dessen Verbreitung.
* Führen Sie eine [[SAMM_-_Strategy_&_Metrics_-_3 | Analyse durch, welche Fähigkeiten Ihrem Unternehmen nicht zur Verfügung stehen]], um wichtige Verbesserungsfelder bestimmen und einen Maßnahmenplan erstellen zu können.
+
* Führen Sie eine [[SAMM_-_Strategy_&_Metrics_-_3 | <u>Analyse durch, welche Fähigkeiten Ihrem Unternehmen nicht zur Verfügung stehen</u>]]um wichtige Verbesserungsfelder bestimmen und einen Maßnahmenplan erstellen zu können.
* Führen Sie mit Zustimmung der Geschäftsleitung eine [[ SAMM_-_Education_&_Guidance_-_1 | Kampagne zur Sensibilisierung bezüglich Fragen der Anwendungssicherheit]] für Ihre gesamte IT-Organisation durch.
+
* Führen Sie mit Zustimmung der Geschäftsleitung eine [[ SAMM_-_Education_&_Guidance_-_1|<u>Kampagne zur Sensibilisierung für Fragen der  
 +
Anwendungssicherheit</u>]] für Ihre gesamte IT-Organisation durch.  
 
{{Top 10:GrayBoxEnd|year=2013}}
 
{{Top 10:GrayBoxEnd|year=2013}}
 
|-
 
|-
Line 22: Line 37:
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
* Erfassen und [[SAMM_-_Strategy_&_Metrics_-_2 | priorisieren Sie Ihr Anwendungsportfolio]] aus einer risiko-orientierten Perspektive.
+
* Erfassen und [[SAMM_-_Strategy_&_Metrics_-_2 | <u>priorisieren Sie Ihr Anwendungsportfolio</u>]] aus einer risiko-orientierten Perspektive.
* Entwickeln Sie ein Modell der Anwendungsrisiken, um die Bedeutung Ihrer Anwendungen zu bestimmen und eine Rangfolge zu bilden. Etablieren Sie einen Leitfaden, um den notwendigen Umfang der Maßnahmen zu bestimmen.
+
* Entwickeln Sie ein Bewertungsmodell der Anwendungsrisiken, um die Wichtigkeit Ihrer Anwendungen bewerten und eine Rangfolge bilden zu können. Etablieren Sie einen Leitfaden, um den notwendigen Umfang der Maßnahmen zu bestimmen.  
* Erstellen Sie ein [[OWASP_Risk_Rating_Methodology| Risikobewertungsmodell]] mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Besonderheiten Ihrer Organisation berücksichtigt.
+
* Erstellen Sie ein [[OWASP_Risk_Rating_Methodology|<u>Risikobewertungsmodell</u>]] mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Bereitschaft Ihrer Organisation berücksichtigt, Risiken einzugehen.  
 
{{Top 10:GrayBoxEnd|year=2013}}
 
{{Top 10:GrayBoxEnd|year=2013}}
 
|-
 
|-
Line 30: Line 45:
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
* Erstellen Sie [[SAMM_-_Policy_&_Compliance_-_2 | Richtlinien und Standards]], die als Basis für alle betroffenen Entwicklungsteams dienen.
+
* Erstellen Sie [[SAMM_-_Policy_&_Compliance_-_2 |<u>Richtlinien und Standards</u>]] für Anwendungssicherheit, die als Basis für alle betroffenen Entwicklungsteams dienen.  
* Definieren Sie einen allgemeingültigen Satz wiederverwendbarer Sicherheitsmaßnahmen, die diese Richtlinien und Standards umsetzen und stellen Sie Nutzungsanweisungen für Design und Entwicklung bereit .
+
* Definieren Sie einen allgemeingültigen Satz wiederverwendbarer Sicherheitsmaßnahmen, die diese Richtlinien und Standards umsetzen und stellen Sie Nutzungsanweisungen für Design und Entwicklung bereit.  
* Etablieren Sie ein [[ SAMM_-_Education_&_Guidance_-_2 | Trainings-Curriculum für Anwendungssicherheit]], das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.
+
* Etablieren Sie einen [[ SAMM_-_Education_&_Guidance_-_2 |<u>Trainings-Plan für Anwendungssicherheit]]</u>, das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.  
 
{{Top 10:GrayBoxEnd|year=2013}}
 
{{Top 10:GrayBoxEnd|year=2013}}
 
|-
 
|-
 
|{{Top 10:RoundedBoxBegin|year=2013}}
 
|{{Top 10:RoundedBoxBegin|year=2013}}
{{#switchtablink:Sicherer Software-Entwicklungsprozess|sicherer&nbsp;Software-Entwicklungsprozess:
+
{{#switchtablink:Sicherer Software-Entwicklungsprozess|Integrieren Sie Sicherheit in Ihre bestehenden Prozesse}}
Integrieren Sie Sicherheit in Ihre bestehenden Prozesse}}
 
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
* Legen Sie Ihre Sicherheitsaktivitäten bzgl. [[SAMM_-_Construction|Implementierung]] und [[SAMM_-_Verification| Verifikation]] fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese Aktivitäten umfassen die [[SAMM_-_Threat_Assessment_-_1 | Modellierung der Bedrohungen]], Absicherung von Design, Code & [[SAMM_-_Design_Review_-_1 | Review]], [[SAMM_-_Security_Testing_-_1 | Pentests]], Mängelbeseitigung etc.
+
* Legen Sie Ihre Sicherheitsaktivitäten bzgl. [[SAMM_-_Construction|<u>Implementierung</u>]] und [[SAMM_-_Verification|<u>Verifikation</u>]] fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese umfassen die [[SAMM_-_Threat_Assessment_-_1 |<u>Modellierung der Bedrohungen</u>]], Sicheres Design, Code & [[SAMM_-_Design_Review_-_1 |<u>Review</u>]],   [[SAMM_-_Security_Testing_-_1 |<u>Penetrationstests</u>]] und Mängelbeseitigung.  
* Stellen Sie Experten und [[ SAMM_-_Education_&_Guidance_-_3 | unterstützende Dienste bereit, die die Entwickler und die Projektteams]] bei der erfolgreichen Umsetzung unterstützen.
+
* Stellen Sie Experten und [[ SAMM_-_Education_&_Guidance_-_3 |<u>unterstützende Dienste bereit, die die Entwickler und die Projektteams</u>]] bei der erfolgreichen Umsetzung unterstützen.  
 
{{Top 10:GrayBoxEnd|year=2013}}
 
{{Top 10:GrayBoxEnd|year=2013}}
 
|-
 
|-
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>{{#switchtablink:Sichtbares Management|Sorgen Sie für sichtbares Management}}
+
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>{{#switchtablink:Sichtbarkeit beim Management|Sorgen Sie für Sichtbarkeit beim Management}}
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
* Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Grundlagenentscheidungen voran, die auf Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheits-umsetzungen und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen etc.
+
* Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Budget-Entscheidungen voran, die auf diesen Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheitsmaßnahmen und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen, Art und Anzahl von Sicherheitsschwachstellen etc.  
* Analysieren Sie Ihre Implementations- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran.
+
* Analysieren Sie Ihre Implementations- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran. Setzen Sie dabei positive Anreize.  
 
{{Top 10:GrayBoxEnd|year=2013}}
 
{{Top 10:GrayBoxEnd|year=2013}}
 
|}
 
|}
Line 55: Line 69:
 
===mögliche Erweiterung:===
 
===mögliche Erweiterung:===
  
= '''Start''' =  
+
=Start=  
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (1)
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (1)
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstLeft|title=Start (1)|year=2013|language=de}}  
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstLeft|title=Start (1)|year=2013|language=de}}  
Line 72: Line 86:
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
   
 
   
= '''Risikobasierter Ansatz''' =   
+
=Risikobasierter Ansatz=   
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (2)
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (2)
  
= '''Sorgen Sie fuer eine stabile Grundlage''' =   
+
=Sorgen Sie fuer eine stabile Grundlage=   
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (3)
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (3)
  
= '''Sicherer Software-Entwicklungsprozess''' =
+
=Sicherer Software-Entwicklungsprozess=
<div style="font-size: 150%;">
 
 
==Beispiel-Richtlinie für einen sicheren Software-Entwicklungsprozess==  
 
==Beispiel-Richtlinie für einen sicheren Software-Entwicklungsprozess==  
 
Quelle: [https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/empfehlungen/hersteller/BSI-CS_022.pdf Entwicklung sicherer Webanwendungen v1.0 (BSI)]  
 
Quelle: [https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/empfehlungen/hersteller/BSI-CS_022.pdf Entwicklung sicherer Webanwendungen v1.0 (BSI)]  
Line 123: Line 136:
 
</div>
 
</div>
  
= '''Sichtbares Management''' =  
+
=Sichtbarkeit beim Management=  
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (5)
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (5)
  
 
<headertabs/>
 
<headertabs/>
 
+
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
 
 
     |type=0
 
     |type=0
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
    |prev=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=whatsNextforVerifiers|language=de}}
+
  |prev={{Top_10:LanguageFile|text=whatsNextforVerifiers|language=de}}
    |next=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
+
  |next={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
 +
  |year=2013
 +
  |language=de
 
}}
 
}}
 
[[Category:OWASP Top 10 fuer Entwickler]]
 

Latest revision as of 18:46, 27 February 2016

← Nächste Schritte für Prüfer
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Anmerkungen zum Risikobegriff →
Nächste Schritte für Organisationen
Starten Sie jetzt mit Ihrem Anwendungssicherheits-Programm!

Anwendungssicherheit ist nicht mehr optional. Organisationen müssen leistungsfähige Prozesse und Ressourcen zur Absicherung ihrer Anwendungen schaffen, um im Umfeld einer steigenden Zahl von Angriffen einerseits und regulatorischen Vorschriften andererseits bestehen zu können. Auf Grund der atemberaubenden Zahl von Anwendungen und Code-Zeilen haben viele Organisationen Probleme, mit dem enormen Umfang an Sicherheitslücken zurecht zu kommen. OWASP empfiehlt den Aufbau eines Programms zur Anwendungssicherheit, um einen Überblick über die Sicherheitslage aller Anwendungen zu erhalten und diese zu verbessern. Um das Sicherheitsniveau zu erhöhen, müssen viele Unternehmensbereiche effizient zusammenarbeiten, von der Entwicklungsabteilung bis zum Management. Die Sicherheitsarchitektur muss transparent sein, damit alle die Ziele der Anwendungssicherheit im Unternehmen nachvollziehen zu können. Dies erfordert eine Analyse von Maßnahmen, die die Sicherheit Ihrer Anwendungen durch Reduzierung von Risiken in einer kostengünstigen Weise ermöglicht. Einige der wichtigsten Aufgaben sind:

  • Erfassen und priorisieren Sie Ihr Anwendungsportfolio aus einer risiko-orientierten Perspektive.
  • Entwickeln Sie ein Bewertungsmodell der Anwendungsrisiken, um die Wichtigkeit Ihrer Anwendungen bewerten und eine Rangfolge bilden zu können. Etablieren Sie einen Leitfaden, um den notwendigen Umfang der Maßnahmen zu bestimmen.
  • Erstellen Sie ein Risikobewertungsmodell mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Bereitschaft Ihrer Organisation berücksichtigt, Risiken einzugehen.
  • Erstellen Sie Richtlinien und Standards für Anwendungssicherheit, die als Basis für alle betroffenen Entwicklungsteams dienen.
  • Definieren Sie einen allgemeingültigen Satz wiederverwendbarer Sicherheitsmaßnahmen, die diese Richtlinien und Standards umsetzen und stellen Sie Nutzungsanweisungen für Design und Entwicklung bereit.
  • Etablieren Sie einen Trainings-Plan für Anwendungssicherheit, das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.
  • Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Budget-Entscheidungen voran, die auf diesen Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheitsmaßnahmen und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen, Art und Anzahl von Sicherheitsschwachstellen etc.
  • Analysieren Sie Ihre Implementations- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran. Setzen Sie dabei positive Anreize.

mögliche Erweiterung:

Tbd: weitere Infos hier, oder auf einer eigenen Seite (1)

Start (1)

Tbd

Start (2)

Tbd

Start (3)

Tbd

Referenzen

OWASP

Andere

Tbd: weitere Infos hier, oder auf einer eigenen Seite (2)

Tbd: weitere Infos hier, oder auf einer eigenen Seite (3)

Beispiel-Richtlinie für einen sicheren Software-Entwicklungsprozess

Quelle: Entwicklung sicherer Webanwendungen v1.0 (BSI)

Hier, oder als eigene Seite


Vergabephase
  • Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test

Planungs- und Konzeptionsphase

Entwicklungsphase

... Top 10 für Entwickler


Test- und Rollout-Phase

Betriebsphase

Ende des Lebenszyklus einer Webanwendung

</div>

Tbd: weitere Infos hier, oder auf einer eigenen Seite (5)

← Nächste Schritte für Prüfer
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Anmerkungen zum Risikobegriff →

© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png