Sichere Applikationen mit OpenSAMM
Ein Leben lang
Wenn von Applikationssicherheit die Rede ist, denken die meisten an Penetrationstests und statische Sourcecode-Analysen. Doch der Sicherheitsaspekt muss schon früher im Entwicklungsprozess berücksichtigt werden. Das Reifegradmodell OpenSAMM beschreibt die systematische Einbeziehung der Sicherheit in alle Phasen des Software-Lebenszyklus.
Gängige Sicherheitstests bei Applikationen wie Einbruchstests (Penetrationstests) oder Quellcode-Analysen erfolgen zu einem relativ späten Zeitpunkt innerhalb der Softwareentwicklung, in der Regel kurz vor der Produktionsreife der Anwendung. Es kanƒn jedoch teuer werden, wenn dann noch jemand Sicherheitslücken findet. Gerade solche, die auf das Design der Software zurückzuführen sind, kann man nur mit großem Aufwand beheben. Hier wäre es nötig, die Software neu zu entwerfen und den Sourcecode neu zu implementieren. Dies vermindert den Wert (Business Value) der Applikation und kann die fristgerechte Auslieferung gefährden. Analysten von Forrester zufolge sind die Kosten für das Beheben von Defekten, sobald die Software im Einsatz ist, bis zu dreißigmal höher als in der Phase der Anforderungsanalyse (Abbildung 1).
Daher muss man Applikationssicherheit schon in den Anfangsphasen des Software-Lebenszyklus etablieren. Man definiert dazu einen sogenannten Secure Development Life Cycle (SDLC), der von der Planung bis zum Lebensende der Software reicht.