Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Software-Entwickler

TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) Text noch von 2010 TEST-TEST TEST

Starten Sie jetzt mit Ihrem Anwendungssicherheits-Programm!

Unabhängig davon, ob man ein Neuling im Bereich der Webanwendungssicherheit ist, oder schon mit den erläuterten Gefahren vertraut ist – die Entwicklung einer neuen, sicheren Webanwendung, oder das Absichern einer bereits existierenden, kann sehr schwierig sein. Für die Betreuung eines großen Anwendungsportfolios mag das abschreckend wirken.

Viele OWASP Ressourcen sind frei verfügbar

Um Organisationen und Entwicklern dabei zu helfen, ihre Anwendungssicherheitsrisiken kostengünstig zu reduzieren, stellt die OWASP zahlreiche frei zugängliche Ressourcen zur Verbesserung der Anwendungssicherheit zur Verfügung. Im Folgenden werden einige dieser OWASP Ressourcen vorgestellt, die Organisationen helfen können, sichere Webanwendungen zu erstellen. Auf der nächsten Seite stellen wir einige OWASP Ressourcen vor, die Organisationen dabei helfen können Ihre Anwendungs-sicherheit zu überprüfen.

Anforderungen an die Anwendungssicherheit	Um eine sichere Webanwendung zu erstellen, ist es wichtig, vorher zu definieren was "sicher" im Falle einer speziellen Anwendung bedeutet. Das OWASP empfiehlt dazu den OWASP Application Security Verification Standard (ASVS) als Leitfaden zur Erstellung von Sicherheitsanforderungen. Bei Outsourcing der Anwendungsentwicklung empfiehlt sich der OWASP Secure Software Contract Annex.
Anwendungs-Sicherheits-Architektur	Anstatt Sicherheit nachträglich in eine Anwendung zu implementieren, ist es kosteneffektiver, diese schon beim Design zu beachten. OWASP empfiehlt hierzu den OWASP Developer’s Guide, das OWASP Secure Application Design-Projekt und die OWASP Prevention Cheat Sheets als Startpunkt. Sie gelten als Leitfäden, wie Sicherheitsaspekte von Anfang an einfließen können.
Standardisierte Sicherheitskontrollen	Die Entwicklung starker und anwendbarer Sicherheitskontrollen ist recht schwierig. Standardisierte Sicherheitskontrollen für Entwickler vereinfachen die Entwicklung sicherer Anwendungen. Das OWASP empfiehlt dazu das OWASP Enterprise Security API (ESAPI) Project - ein Modell, dass APIs zur Entwicklung sicherer Anwendungen zur Verfügung stellt. ESAPI unterstützt Implementierungen in Java, .NET, PHP, Classic ASP, Python, sowie Cold Fusion.
Sicherer Entwicklungszyklus (Secure Development Lifecycle SDLC)	Um den Prozess zur sicheren Anwendungserstellung in einer Organisation zu verbessern, empfiehlt OWASP das OWASP Software Assurance Maturity Model (SAMM). Das Modell hilft bei der Formulierung und Umsetzung einer Software-Sicherheitsstrategie, die spezifische Risiken der eigenen Organisation berücksichtigt.
Anwendungs-Sicherheits-Ausbildung	Das bietet Material zur Schulung von Entwicklern im Bereich der Anwendungssicherheit und stellt eine Vielzahl an OWASP Educational Presentations bereit. Praktische Erfahrungen über Schwachstellen können mithilfe des OWASP WebGoat-,, oder des OWASP Broken Web Applications-Projekts gesammelt werden. Um aktuell informiert zu bleiben, besuchen Sie die OWASP AppSec Conference, ein OWASP Training, eines der lokalen OWASP Chapter Meetings, oder einen OWASP Stammtisch.

Es stehen zahlreiche weitere OWASP Ressourcen zur Verfügung. Besuchen Sie die OWASP Projects Seite, die eine Liste aller OWASP Projekte, organisiert nach dem Qualitätsstatus der einzelnen Veröffentlichungen (Veröffentlicht, Beta oder Alpha) enthält. Viele OWASP Ressourcen sind in unserem Wiki verfügbar und können auch in Papierformat bestellt werden.

mögliche Erweiterung:

Anforderungen an die Anwendungssicherheit
Anwendungs-Sicherheits-Architektur
Standardisierte Sicherheitskontrollen
Sicherer Entwicklungszyklus SDLC
Anwendungs-Sicherheits-Ausbildung

Zunächst sind die durch die Anwendung zu verarbeitenden Daten zu definieren und deren Schutzbedarf festzulegen. Das Ziel der Schutzbedarfserhebung ist es zu ermitteln, in welchem Ausmaß die Webapplikation in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden muss, um in späteren Phasen daraus die Sicherheitsanforderungen, Maßnahmen sowie Audit-Pläne ableiten zu können. Die Grundwerte stellen jene Faktoren dar, die von Angriffen bedroht werden. In der Informationssicherheit sind drei fundamentale Grundwerte vorhanden: Vertraulichkeit, Integrität und Verfügbarkeit.

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Das Belauschen, eine Weitergabe oder Veröffentlichung von vertraulichen Informationen ist daher nicht erwünscht. Die Integrität von Daten gewährleistet deren Vollständigkeit und Unversehrtheit über einen bestimmten Zeitraum und ermöglicht die Aufdeckung einer Manipulation. Verfügbarkeit kann sich auf IT-Systeme oder Daten beziehen und fordert, dass sie zu definierten Zeiten, im Einklang mit der Vertraulichkeit und der Integrität, von Anwendern stets wie vorgesehen genutzt werden können.

Die Grundwerte beziehen sich nicht ausschließlich auf Daten, sondern sollten ebenfalls auf Datenflüsse, Kommunikationskanäle oder ganze IT-Systeme umgelegt werden.

Webanwendungen besitzen unterschiedliche Schutzbedürfnisse. Da diese in der Praxis meist nicht quantifizierbar sind, werden sie in drei Kategorien eingeteilt: „Normal“, „Hoch“ und „Sehr hoch“. Diese Definition entspricht den Begriffen des IT-Grundschutzes des BSI. Unter einem normalen Schutzbedarf sind Schadensauswirkungen begrenzt und überschaubar, während unter einem hohen bzw. sehr hohen Schutzbedarf die Schadensauswirkungen beträchtlich bzw. existenziell bedrohlich sein können. Diese Kategorien dienen als Entscheidungsgrundlage, welche Sicherheitsanforderungen für die jeweilige Webanwendung getroffen werden sollten.

Um die Zuordnung zu einer der Kategorien zu erleichtern, können verschiedene Schadenszenarien betrachtet werden (z.B. ein Verstoß gegen Gesetze oder Vorschriften). Die Schadensszenarien fassen Schäden zusammen, die beim Eintreten einen Verlust eines Schutzzieles bedeuten. Die Webanwendung muss mindestens hinsichtlich der folgenden Schadensszenarien bewertet werden. Darüber hinaus – wenn notwendig – können weitere Schadensszenarien definiert oder es müssen die individuellen Gegebenheiten berücksichtigt werden.

Anforderungen an die Anwendungssicherheit (1)

Tbd

Anforderungen an die Anwendungssicherheit (2)

Tbd

Anforderungen an die Anwendungssicherheit (3)

Tbd

Referenzen

OWASP

Andere

Tbd: weitere Infos hier, oder auf einer eigenen Seite (2)

Um die Sicherheit und damit auch die Qualität der Software zu erhöhen, ist es notwendig, während des gesamten Entwicklungszeitraums sicherheitsspezifische Tests durchzuführen. Je früher dabei Schwachstellen identifiziert werden, desto geringer fallen die zur Behebung notwendigen Kosten aus. Eine häufig verwendete Methodik ist die Verwendung von Security Gates. Security Gates stellen eine Form der innerhalb der Qualitätssicherung häufig verwendeten Quality Gates dar. Dabei handelt es sich um Meilensteine im Projekt, die nur unter Einhaltung definierter Sicherheits- bzw. Qualitätskriterien passiert werden dürfen. Security Gates werden häufig mit den Ergebnissen obligatorischer Sicherheitstests verknüpft. So ließe sich bestimmen, dass eine Anwendung vor dem Produktivgang einen Penetrationstest durchlaufen muss und durch diesen keine gravierenden Mängel identifiziert werden dürfen. Security Gates helfen damit, ein Mindestmaß an Sicherheit in einem Projekt umzusetzen.

Anforderungen an die Anwendungssicherheit (1)

Tbd

Anforderungen an die Anwendungssicherheit (2)

Tbd

Anforderungen an die Anwendungssicherheit (3)

Tbd

Referenzen

OWASP

Andere

Tbd: weitere Infos hier, oder auf einer eigenen Seite (4)

Unter dem Begriff Awareness versteht man die Bewusstseinsbildung hinsichtlich Sicherheitsthemen. Alle an der Entwicklung einer Anwendung beteiligten Mitarbeiter müssen mit dem Thema Sicherheit konfrontiert werden. Das betrifft sowohl Entwickler als auch Projektmanager, Qualitätstester, Administratoren usw.

Es muss sichergestellt werden, dass von jedem Mitarbeiter die Folgen von Sicherheitsmängeln sowie geltenden Anforderungen verstanden werden. Auch das Thema Datenschutz sollte in diesem Rahmen in ausreichendem Maße adressiert werden. Diese Bewusstseinsbildung erfolgt zumeist durch Schulungen.

Diese Schulungen können sowohl von externen als auch interne Experten durchgeführt werden. Eine solche Veranstaltung kann abhängig von den spezifischen Erfordernissen entweder als mehrtägiger Workshop oder als computergestützter modularer Kurs aufgebaut werden. Der Inhalt sollte sowohl konzeptuelle als auch technische Informationen beinhalten. Die Ausgestaltung kann und sollte dabei unterschiedliche Zielgruppen angemessen adressieren. Einem Projektmanager muss in der Regel nicht das gleiche technische Verständnis vermittelt werden, wie dies etwa bei Entwicklern der Fall ist, insbesondere wenn diese mit der konkreten Implementierung von sicherheitsrelevanten Funktionen betraut worden sind. Ein grundlegendes Awareness-Training sollte für alle an der Entwicklung einer Webanwendung beteiligten Personen verpflichtend sein und periodisch durchgeführt werden. Neue Mitarbeiter sollen ein entsprechendes Training unmittelbar nach Firmeneintritt erhalten.

← Top_10_fuer_Entwickler/A10_Ungeprüfte Um- und Weiterleitungen

Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top 10 fuer Entwickler/Nächste Schritte für Projektleiter und Anwendungsverantwortliche →

Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Software-Entwickler

TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) Text noch von 2010 TEST-TEST TEST

Viele OWASP Ressourcen sind frei verfügbar

mögliche Erweiterung:

Tbd

Tbd

Tbd

Tbd

Tbd

Tbd

Navigation menu

Personal tools

Namespaces

Variants

Views

More

Search

Navigation

Reference

Tools