Softwaresicherheit

Um die Qualität von Applikationen zu bewerten, gilt der Grundsatz: Gute Software tut, was sie soll - sichere Software nichts anderes. Exploits lassen sich oft auf Fehler in der Programmierpraxis zurückführen. In Softwareprojekten ist es einfacher, Security von Anfang an in der Entwicklung zu berücksichtigen, als im Nachhinein Patches zu veröffentlichen. Aus diesem Grund ist Agile Development nicht für jeden Einsatzzweck der beste Ansatz. Ob andere Entwicklungsmodelle oder Prototyping nicht geeigneter sind, kann nur im Einzelfall durch eine Kostenanalyse und Risikobewertung entschieden werden.

Im laufenden Projekt und in der Zusammenarbeit mit dem Kunden verbessern Versionierung durch Software Configuration Management (SCM) und verschiedene Formen von Codeanalyse und Testverfahren den Reifegrad des Software Development Life Cycle (SDLC). DevOps nutzt die gleiche Methoden und Techniken wie in der Vorfallsanalyse des IT-Betriebs, um Qualitätssicherung zu betreiben und die Entwicklungsgeschwindigkeit zu erhöhen. Je nach Sicherheitsbedürfnis ist es auch entscheidend, welche Plattform - ob High-Performance Computing (HPC) oder Mobile App - für die Anwendung genutzt werden soll.

Bei der Analyse von Schwachstellen auf Anwendungsebene lassen sich die Prinzipien aus dem Penetration Testing einer Infrastruktur übertragen. Auch hier findet eine Kommunikation zwischen Objekten statt, die bei verteilten Systemen auch über fremde Medien aufgespannt ist. Bei Webanwendungen z.B. erhöht sich der Komplexitätsgrad durch das Zusammenspiel von Client, Server und ggf. beteiligten Datenbanken und Programmierschnittstellen (Application Programming Interface, API). Hier liegt in der Absicherung eine besondere Aufgabe.