This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Organisationen"

From OWASP
Jump to: navigation, search
(Neu: Text aus den Top 10-2010 übernommen)
(Test: Beispiel-Richtlinie für einen sicheren Software-Entwicklungsprozess)
Line 35: Line 35:
 
{{Top 10:GrayBoxEnd|year=2013}}
 
{{Top 10:GrayBoxEnd|year=2013}}
 
|-
 
|-
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Integrieren Sie Sicherheit in Ihre bestehenden Prozesse
+
|{{Top 10:RoundedBoxBegin|year=2013}}sicherer&nbsp;Software-Entwicklungsprozess:
 +
Integrieren Sie Sicherheit in Ihre bestehenden Prozesse
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
{{Top 10:RoundedBoxEnd|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
 
|{{Top 10:GrayBoxBegin|year=2013}}
Line 75: Line 76:
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (3)
 
Tbd: weitere Infos hier, oder auf einer eigenen Seite (3)
  
='''Sicherheit in bestehende Prozesse'''=  
+
='''sicherer Software-Entwicklungsprozess'''=
Tbd: weitere Infos hier, oder auf einer eigenen Seite (4)
+
<div style="font-size: 150%;">
 +
==Beispiel-Richtlinie für einen sicheren Software-Entwicklungsprozess==
 +
Quelle: [https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/empfehlungen/hersteller/BSI-CS_022.pdf Entwicklung sicherer Webanwendungen v1.0 (BSI)]
 +
{| cellspacing="1" cellpadding="1" border="0" width="100%";
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Vergabephase
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
* Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Planungs- und Konzeptionsphase
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
*
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Entwicklungsphase
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
... Top 10 für Entwickler <!--- fehlende Inhalte ggf im Dokument ergänzen? --->
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Test- und Rollout-Phase
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
*
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Betriebsphase
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
*
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Ende des Lebenszyklus einer Webanwendung
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
*
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|}
 +
</div>
  
 
='''sichtbares Management'''=  
 
='''sichtbares Management'''=  

Revision as of 15:58, 29 May 2013

← Top 10 fuer Entwickler/Nächste Schritte für Prüfer
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top 10 fuer Entwickler/Anmerkungen zum Risikobegriff →

TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) Text noch von 2010 TEST-TEST TEST

Starten Sie jetzt mit Ihrem Anwendungssicherheits-Programm!

Anwendungssicherheit ist nicht mehr optional. Organisationen müssen leistungsfähige Ressourcen zur Absicherung ihrer Anwendungen schaffen, um im Umfeld einer steigenden Zahl von Angriffen einerseits und regulatorischen Vorschriften andererseits bestehen zu können. Auf Grund der atemberaubenden Zahl von Anwendungen und Code-Zeilen haben viele Organisationen Probleme, mit dem enormen Umfang an Sicherheitslücken zurecht zu kommen. OWASP empfiehlt den Aufbau eines Sicherheitsleitfadens, um einen Überblick über die Sicherheitsstruktur aller Anwendungen zu erhalten und diese zu verbessern. Um das Sicherheitsniveau zu erhöhen, müssen viele Unternehmensbereiche effizient zusammenarbeiten, von der Entwicklungsabteilung bis zum Management. Die Sicherheitsarchitektur muss transparent sein, damit alle den Stand der Anwendungssicherheit im Unternehmen nachvollziehen zu können. Dies erfordert eine Analyse von Maßnahmen, die die Sicherheit Ihrer Anwendungen durch Reduzierung von Risiken in einer kostengünstigen Weise ermöglicht. Einige der wichtigsten Aufgaben sind:


Start

Risikobasierter Ansatz
  • Erfassen und priorisieren Sie Ihr Anwendungsportfolio aus einer risiko-orientierten Perspektive.
  • Entwickeln Sie ein Modell der Anwendungsrisiken, um die Bedeutung Ihrer Anwendungen zu bestimmen und eine Rangfolge zu bilden. Etablieren Sie einen Leitfaden, um den notwendigen Umfang der Maßnahmen zu bestimmen.
  • Erstellen Sie ein Risikobewertungsmodell mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Besonderheiten Ihrer Organisation berücksichtigt.

Sorgen Sie für eine stabile Grundlage
  • Erstellen Sie Richtlinien und Standards, die als Basis für alle betroffenen Entwicklungsteams dienen.
  • Definieren Sie einen allgemeingültigen Satz wiederverwendbarer Sicherheitsmaßnahmen, die diese Richtlinien und Standards umsetzen und stellen Sie Nutzungsanweisungen für Design und Entwicklung bereit .
  • Etablieren Sie ein Trainings-Curriculum für Anwendungssicherheit, das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.
sicherer Software-Entwicklungsprozess:

Integrieren Sie Sicherheit in Ihre bestehenden Prozesse


Sorgen Sie für sichtbares Management
  • Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Grundlagenentscheidungen voran, die auf Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheits-umsetzungen und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen etc.
  • Analysieren Sie Ihre Implementations- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran.

mögliche Erweiterung:

Tbd: weitere Infos hier, oder auf einer eigenen Seite (1)

Start (1)

Tbd
Start (2)

Tbd

Start (3)

Tbd
Referenzen

OWASP

Andere

Tbd: weitere Infos hier, oder auf einer eigenen Seite (2)

Tbd: weitere Infos hier, oder auf einer eigenen Seite (3)

Beispiel-Richtlinie für einen sicheren Software-Entwicklungsprozess

Quelle: Entwicklung sicherer Webanwendungen v1.0 (BSI)


Vergabephase
  • Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test Test

Planungs- und Konzeptionsphase

Entwicklungsphase

... Top 10 für Entwickler


Test- und Rollout-Phase

Betriebsphase

Ende des Lebenszyklus einer Webanwendung

Tbd: weitere Infos hier, oder auf einer eigenen Seite (5)


← Top 10 fuer Entwickler/Nächste Schritte für Prüfer
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top 10 fuer Entwickler/Anmerkungen zum Risikobegriff →
© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png
Retrieved from "https://wiki.owasp.org/index.php?title=Germany/Projekte/Top_10_fuer_Entwickler-2013/Nächste_Schritte_für_Organisationen&oldid=152451"