Secure Software Development
Lifecycle
für
Webanwendungen
� OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC.
� Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu unterstützen.
HintergrundHintergrund
Der Sicherer SDLC
Copyright OPTIMAbit GmbH, 2011
unterstützen.
� In diesem Vortrag geht es darum, ein Überblick über die wichtigste Aspekte des sicheren SDLCs zu gewinnen
� Es wird hier das Model „OpenSAMM“ (Software Assurance MaturityModel) als Beispiel verwendet.
Je komplexer eine Anwendung , desto schwieriger die Absicherung.
Verglichen mit Anwendungen, sind Netzwerke relativ einfach.
Komplexität erzeugt UnsicherheitKomplexität erzeugt Unsicherheit
Copyright OPTIMAbit GmbH, 2011
Schwachstellen entstehen aus Fehlern in:
– Design / Architektur
– Implementierung
– Deployment & Konfiguration
– Laufzeitumgebung
Das Open Software Assurance Maturity Model (SAMM) definiert strategische
Maßnahmen für sichere Software. Ein OWASP Projekt
Strategische Lösung: Sicherer SDLCStrategische Lösung: Sicherer SDLC
Überblick sicherer Software Development Lifecycle (SDLC)
Copyright OPTIMAbit GmbH, 2011
Andere Modelle existieren auch, z.B. Microsoft, BSI-MM.
Governance Construction Verification Deployment
Wichtige Teile eines Secure SDLCWichtige Teile eines Secure SDLC
Diese Aktivitäten sichern eine Basislinie für sichere Webapps
Copyright OPTIMAbit GmbH, 2011
Governance
AppsecStandard
Ausbildung
Construction
Sicherheits-anforderungen
Sichere Frameworks
Verification
Pentest
Code Review
Deployment
Hardening
VulnerabilityMgmt
Application Security Standards:
� definieren Standards für sichere
Anwendungen auf hohem
Abstraktionsniveau
Anwendungssicherheit StandardAnwendungssicherheit Standard
Vorgaben für sicheres Design und Architektur
Policies
Copyright OPTIMAbit GmbH, 2011
Abstraktionsniveau
� unterstützen technische Mitarbeiter,
Architekten und Projektleiter (Inhouse und
Outsourcing)
� sind hochstrukturiert --- keine
desorganisierte Listen von „Best Practices“
Standards
Richtlinien
Eingabevalidierung
Fehlerbehandling
Session Management
Anwendungssicherheit Standard (Inhalt)Anwendungssicherheit Standard (Inhalt)
Beispielinhalt und Umfang
Standards für:
� Allgemeine Anwendungen
Copyright OPTIMAbit GmbH, 2011
Session Management
HTML & HTTP
Zugriff auf Datenbanken
Uvm…
� Webanwendungen
� Webservices
� SAP
Code Reviews sorgen für sichere
Anwendungen und erhöhte Code-
Qualität.
Es ist sinnvoll, entweder ein
Code ReviewCode Review
Ihr Code wird auf Qualität und Sicherheit geprüft
Code
DevelopersEntwicklung
Copyright OPTIMAbit GmbH, 2011
Es ist sinnvoll, entweder ein
Expertenteam auszubilden oder
externe Unterstützung zu holen.
Plus: schnell und wiederholbar
Minus: False Positives, False Negatives Analyse
Tool
OPTIMA
Review Team
Tickets & Feedback
Review & Analyse
Update, Filter, Management
Kickoff Testing Analyse Reporting
Ein hochwertiger Pentest:
� ist strukturiert nach OWASP
Standards und BSI Kriterien.
Penetrationstest einer WebanwendungPenetrationstest einer Webanwendung
Qualität ist entscheidend --- Gute Tests brauchen auch Zeit
Copyright OPTIMAbit GmbH, 2011
Kickoff Testing Analyse Reporting
� erkennt aktuelle Schwachstellen.
� baut primär auf manueller
Expertentest (Tools auch wichtig)
� ausführlich dokumentiert mit
nachvollziehbare
Risikobewertungen.
Ist-Aufnahme über den SDLC
� Wo steht man und was ist zu tun?
� Maßnahmen daraus ableiten
� Pentest und Code Review auf
Ausblick & EmpfehlungenAusblick & Empfehlungen
0
0,2
0,4
0,6
0,8
1Strategy & Metrics
Policy &
Compliance
Education &
Guidance
Threat AssessmentVulnerability
Environment
Hardening
Operational
Enablement
Copyright OPTIMAbit GmbH, 2011
� Pentest und Code Review auf
regulärer Basis setzen
� Security Standards für Anwendungen
definieren
0 Threat Assessment
Security
Requirements
Secure
Architecture
Design Review
Code Review
Security Testing
Vulnerability
Management
� Eine ausgewogene Verteilung der Sicherheit ist wichtig
� 2011: Basisschutz soll erreicht werden
Binnen 1 Jahr den Basisschutz erreichen
Zielsetzung (Jahresplan)Zielsetzung (Jahresplan)
0
0,2
0,4
0,6
0,8
1
Copyright OPTIMAbit GmbH, 2011
werden
� 2012: fortgeschrittener Schutz soll erreicht werden
Aktueller Stand
Basisschutz (2011)
Fortg. Schutz (2012)
0
Vielen Dank
für Ihre Aufmerksamkeitfür Ihre Aufmerksamkeit
Über
OPTIMbit
GmbH
Fokus Kunden Credo
IT-Sicherheit für
Anwendungen
&
Infrastrukturen
Unternehmen
ab ca. 500
Mitarbeitern
Herstellerneutrale
Beratung von
höchster Qualität
Ein komplettes AngebotEin komplettes Angebot
• Pentest, Code Quality, PoliciesSecure Software Lifecycle
• ISO 2700X, PCI-DSS Zertifizierung & Compliance
Copyright OPTIMAbit GmbH, 2011
• IBM, Oracle, SAPEnterprise Systeme
• WAF, SSO, IdM, SmartCardLösungen
• Anwender, Entwickler, ManagerSeminare & Awareness
KontaktKontakt
OPTIMAbit GmbH
Dr. Bruce Sams
Marktplatz 2
85375 Neufahrn
Copyright OPTIMAbit GmbH, 2011
Tel.: +49 8165/65095
Fax +49 8165/65096
www.optimabit.com