AppSecure.nrw Security Belts – das Software-Security-Reifegradmodell für agile Entwicklungsteams
IT-Sicherheit gewinnt in allen Branchen immer mehr an Bedeutung. Dies liegt zum einen daran, dass die entwickelten Produkte zunehmend schützenswerte Daten verarbeiten und kritische Dienste bereitstellen. Zum anderen führt die steigende Sensibilisierung dazu, dass gesetzliche Vorgaben einen stärken Fokus auf die IT-Sicherheit legen.
Software-Security – eine große Herausforderung für Entwicklungsteams
Im Rahmen unseres Forschungsprojekts AppSecure.nrw haben wir eine umfangreiche Studie zum Stand der sicheren Softwareentwicklung in Deutschland durchgeführt. Ein wesentliches Ergebnis dieser Studie war, dass vielen Entwicklungsteams heutzutage die notwendige Security-Kompetenz fehlt, um sichere Produkte entwickeln zu können. Die meisten Teams sind dabei vor allem vom Umfang des Themas Software-Security überfordert und wissen nicht, wie sie das Thema systematisch bei der Entwicklung berücksichtigen und sich die notwendigen Kompetenzen aneignen können.
Step-by-step mehr Sicherheit mit dem Reifegradmodell Security Belts
Unser neues Reifegradmodell Security Belts verfolgt die Idee, Entwicklungsteams sinnvolle Aktivitäten zur Verbesserung der Softwaresicherheit an die Hand zu geben, ohne sie mit der Komplexität des Themas zu überfordern. Dabei orientiert sich das Reifegradmodell am Security-by-Design-Ansatz, bei dem der Aspekt Softwaresicherheit von Beginn an in die Entwicklung integriert wird.
Durch die Anwendung des Reifegradmodells verbessern sich die Entwicklungsteams kontinuierlich und bauen durch das Erreichen der Gürtel das notwendige Wissen für das Thema auf. Darüber hinaus setzen sie sich frühzeitig und kontinuierlich im Softwareentwicklungsprozess mit dem Thema Softwaresicherheit auseinander und minimieren dadurch das Risiko von unsicheren Releases und Sicherheitsvorfällen im Betrieb. Als Konsequenz bauen Security Belts Vertrauen zum Thema Softwaresicherheit gegenüber Kunden, Management, Product Owner und dem Team selbst auf.
Innerhalb des Reifegradmodells sind die Gürtel so zugeschnitten, dass sie innerhalb eines Vierteljahres erreicht werden können. Ein Gürtel umfasst mehrere Aktivitäten aus verschiedenen Bereichen, wobei jede Aktivität zur Verbesserung der Software-Sicherheit beiträgt. Der weiße Gürtel – mit seinen Aktivitäten – ist unser Ausgangspunkt und soll die organisatorische Basis für die Verbesserung der Softwaresicherheit legen. Alle anderen Gürtel (gelb, orange, etc.) verbessern direkt das Team und sein Produkt. Die Aktivitäten mit dem besten Nutzen-Kosten-Verhältnis werden den frühen Gürteln (gelb, etc.) zugeordnet. Daher haben Aktivitäten in späteren Sicherheitsgürteln ein geringeres Nutzen-Kosten-Verhältnis. Dennoch sind sie essenziell, wenn das Produkt kritische Software-Sicherheitsanforderungen hat.
Gemeinsame Entwicklung des Reifegradmodells
Die Entwicklung des Reifegradmodells findet öffentlich auf Github https://github.com/AppSecure-nrw/security-belts statt. Verschiedene Entwicklungsteams der Kooperationspartner adesso mobile solutions GmbH, AXA Konzern AG und Connext Communication GmbH arbeiten daran, die bereits definierten Security Belts zu erreichen.
Das Konzept Security Belts auf der heise devSec
Das Konzept der Security Belts sowie erste Evaluierungsergebnisse werden im Rahmen der heise devSec am 05.10.2021 vorgestellt. Interessierte können zudem dem Projekt auf Twitter unter @AppSecureNRW folgen, um über die Fortschritte und Ergebnisse informiert zu werden.
AppSecure.nrw wird mit Mitteln des Europäischen Fonds für regionale Entwicklung (EFRE.NRW) über drei Jahre gefördert.