Secure Software  Development    Lifecycle      fürWebanwendungen
HintergrundDer Sicherer SDLC       OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC.       Das Ziel ist es...
Komplexität erzeugt UnsicherheitJe komplexer eine Anwendung , desto    schwieriger die Absicherung.Verglichen mit Anwendun...
Strategische Lösung: Sicherer SDLCÜberblick sicherer Software Development Lifecycle (SDLC)  Das Open Software Assurance Ma...
Wichtige Teile eines Secure SDLCDiese Aktivitäten sichern eine Basislinie für sichere Webapps Governance                  ...
Anwendungssicherheit StandardVorgaben für sicheres Design und ArchitekturApplication Security Standards:    definieren Sta...
Anwendungssicherheit Standard (Inhalt)Beispielinhalt und Umfang Standards für:                    Eingabevalidierung      ...
Code ReviewIhr Code wird auf Qualität und Sicherheit geprüft  Code Reviews sorgen für sichere                             ...
Penetrationstest einer WebanwendungQualität ist entscheidend --- Gute Tests brauchen auch Zeit  Ein hochwertiger Pentest: ...
Ausblick & EmpfehlungenIst-Aufnahme über den SDLC   Wo steht man und was ist zu tun?                Operational           ...
Zielsetzung (Jahresplan)Binnen 1 Jahr den Basisschutz erreichen                      1                                    ...
Vielen Dankfür Ihre Aufmerksamkeit
ÜberOPTIMbit GmbH              Fokus             Kunden            Credo           IT-Sicherheit für   Unternehmen    Hers...
Ein komplettes Angebot       Secure Software Lifecycle     • Pentest, Code Quality, Policies       Zertifizierung & Compli...
Kontakt      OPTIMAbit GmbH      Dr. Bruce Sams      Marktplatz 2      85375 Neufahrn      Tel.:         +49 8165/65095   ...
Nächste SlideShare
Wird geladen in …5
×

Sichere Webanwendungen mit OpenSAMM

1.335 Aufrufe

Veröffentlicht am

How to implement secure software development lifecycle (SDLC) using OpenSAMM.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.335
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
6
Aktionen
Geteilt
0
Downloads
8
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sichere Webanwendungen mit OpenSAMM

  1. 1. Secure Software Development Lifecycle fürWebanwendungen
  2. 2. HintergrundDer Sicherer SDLC OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC. Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu unterstützen. In diesem Vortrag geht es darum, ein Überblick über die wichtigste Aspekte des sicheren SDLCs zu gewinnen Es wird hier das Model „OpenSAMM“ (Software Assurance Maturity Model) als Beispiel verwendet. Copyright OPTIMAbit GmbH, 2011
  3. 3. Komplexität erzeugt UnsicherheitJe komplexer eine Anwendung , desto schwieriger die Absicherung.Verglichen mit Anwendungen, sind Netzwerke relativ einfach.Schwachstellen entstehen aus Fehlern in: – Design / Architektur – Implementierung – Deployment & Konfiguration – Laufzeitumgebung Copyright OPTIMAbit GmbH, 2011
  4. 4. Strategische Lösung: Sicherer SDLCÜberblick sicherer Software Development Lifecycle (SDLC) Das Open Software Assurance Maturity Model (SAMM) definiert strategische Maßnahmen für sichere Software. Ein OWASP Projekt Andere Modelle existieren auch, z.B. Microsoft, BSI-MM. Copyright OPTIMAbit GmbH, 2011
  5. 5. Wichtige Teile eines Secure SDLCDiese Aktivitäten sichern eine Basislinie für sichere Webapps Governance Construction Verification Deployment Appsec Sicherheits- Pentest Hardening Standard anforderungen Sichere Vulnerability Ausbildung Code Review Frameworks Mgmt Copyright OPTIMAbit GmbH, 2011
  6. 6. Anwendungssicherheit StandardVorgaben für sicheres Design und ArchitekturApplication Security Standards: definieren Standards für sichere Policies Anwendungen auf hohem Abstraktionsniveau unterstützen technische Mitarbeiter, Standards Architekten und Projektleiter (Inhouse und Outsourcing) sind hochstrukturiert --- keine Richtlinien desorganisierte Listen von „Best Practices“ Copyright OPTIMAbit GmbH, 2011
  7. 7. Anwendungssicherheit Standard (Inhalt)Beispielinhalt und Umfang Standards für: Eingabevalidierung Fehlerbehandling Allgemeine Anwendungen Session Management Webanwendungen HTML & HTTP Webservices Zugriff auf Datenbanken SAP Uvm… Copyright OPTIMAbit GmbH, 2011
  8. 8. Code ReviewIhr Code wird auf Qualität und Sicherheit geprüft Code Reviews sorgen für sichere Code Anwendungen und erhöhte Code- Entwicklung Qualität. Developers Es ist sinnvoll, entweder ein Expertenteam auszubilden oder Tickets & Review & Feedback externe Unterstützung zu holen. Analyse Plus: schnell und wiederholbar Update, Filter, Management Analyse Minus: False Positives, False Negatives Tool OPTIMA Review Team Copyright OPTIMAbit GmbH, 2011
  9. 9. Penetrationstest einer WebanwendungQualität ist entscheidend --- Gute Tests brauchen auch Zeit Ein hochwertiger Pentest: ist strukturiert nach OWASP Standards und BSI Kriterien. Kickoff Testing Analyse Reporting erkennt aktuelle Schwachstellen. baut primär auf manueller Expertentest (Tools auch wichtig) ausführlich dokumentiert mit nachvollziehbare Risikobewertungen. Copyright OPTIMAbit GmbH, 2011
  10. 10. Ausblick & EmpfehlungenIst-Aufnahme über den SDLC Wo steht man und was ist zu tun? Operational Strategy & Metrics 1 Policy & Enablement 0,8 Compliance Maßnahmen daraus ableiten Environment Hardening 0,6 Education & Guidance 0,4 0,2 Pentest und Code Review auf Vulnerability Management 0 Threat Assessment regulärer Basis setzen Security Security Testing Requirements Security Standards für Anwendungen Code Review Secure Architecture definieren Design Review Copyright OPTIMAbit GmbH, 2011
  11. 11. Zielsetzung (Jahresplan)Binnen 1 Jahr den Basisschutz erreichen 1 0,8 Eine ausgewogene Verteilung 0,6 der Sicherheit ist wichtig 0,4 0,2 2011: Basisschutz soll erreicht 0 werden 2012: fortgeschrittener Schutz soll erreicht werden Aktueller Stand Basisschutz (2011) Fortg. Schutz (2012) Copyright OPTIMAbit GmbH, 2011
  12. 12. Vielen Dankfür Ihre Aufmerksamkeit
  13. 13. ÜberOPTIMbit GmbH Fokus Kunden Credo IT-Sicherheit für Unternehmen Herstellerneutrale Anwendungen ab ca. 500 Beratung von & Mitarbeitern höchster Qualität Infrastrukturen
  14. 14. Ein komplettes Angebot Secure Software Lifecycle • Pentest, Code Quality, Policies Zertifizierung & Compliance • ISO 2700X, PCI-DSS Enterprise Systeme • IBM, Oracle, SAP Lösungen • WAF, SSO, IdM, SmartCard Seminare & Awareness • Anwender, Entwickler, Manager Copyright OPTIMAbit GmbH, 2011
  15. 15. Kontakt OPTIMAbit GmbH Dr. Bruce Sams Marktplatz 2 85375 Neufahrn Tel.: +49 8165/65095 Fax +49 8165/65096 bruce.sams@optimabit.com www.optimabit.com Copyright OPTIMAbit GmbH, 2011

×