Zum Hauptinhalt springen
Alle KollektionenDSGVO und Datensicherheit
Secure Software Development Lifecycle
Secure Software Development Lifecycle

Sichere Innovationen, von der Konzeption bis zur Umsetzung

Vor über einem Jahr aktualisiert

Allgemeines

DevSecOps ist ein Ansatz für das Software-Engineering, der die Sicherheit in den Vordergrund stellt und Sicherheitspraktiken in den gesamten Lebenszyklus der Softwareentwicklung (SDLC) einbezieht, indem er Entwicklung und Betrieb miteinander verbindet. Ferner orientieren wir uns am OpenSAMM Framework. Bei Clever Elements werden die folgenden Sicherheitsaktivitäten innerhalb des DevSecOps-Zyklus durchgeführt.


1 Plan

Bereits in der Planungsphase wird die Sicherheit bei der Priorisierung von Issues berücksichtigt. Sicherheitsprobleme werden mit einem entsprechenden Security-Flag im Ticketsystem priorisiert und anschließend bearbeitet.

2 Code

Alle Quellcodeänderungen erfordern einen Eintrag im Änderungsprotokoll, in dem die vorgenommenen Änderungen beschrieben werden. Die Entwickler werden für die Einhaltung der (Sicherheits-) Best-Practice-Richtlinien geschult. Clever Elements hat außerdem ein 4-Augen-Prinzip für alle Änderungen eingeführt, bei dem ein zweiter Entwickler die (potenziellen) Änderungen überprüfen und bestätigen muss (obligatorische Peer Review).

3 Build

Jede Version wird kontinuierlich (täglich) auf bekannte Sicherheitslücken hin überprüft:

  • Scannen mittels Static Application Security Testing Tool (SAST)

  • OWASP Dependency Checker als Software Composition Analysis (SCA) Tool zum Aufspüren von öffentlich bekannt gewordenen Schwachstellen, die in Abhängigkeiten enthalten sind

4 Test

Innerhalb der Entwicklungspipeline werden umfangreiche Unit-, Integrations- und Frontend-Tests durchgeführt, um die ordnungsgemäße Integration jeder Änderung sicherzustellen und mögliche negative Auswirkungen zu reduzieren. Jede Änderung und Erweiterung bei Clever Elements wird in einer vollständigen und unabhängigen Testumgebung ohne Einbeziehung von Kundendaten getestet.

5 Release

Clever Elements folgt der branchenüblichen Best Practice, indem es eine dreistufige Umgebung für Entwicklung, Test und Produktion hat, die vollständig voneinander getrennt sind. Der Entwicklungszweig wird wöchentlich in die Testumgebung übertragen. Nach einer einwöchigen Testphase (User Acceptance Test), in der die Clever Elements-Mitarbeiter die neue Version in ihrem Arbeitsalltag kennenlernen, wird die Version in die Produktionsumgebung übertragen.

6 Deploy

Clever Elements setzt standardisierte Container-Images für die Produktionsumgebung ein. Grundlage für die Container sind gehärtete Images und Konfigurationen nach Best-Practice-Standards des jeweiligen Herstellers (Image Assurance).

7 Operate

7.1 Zugangskontrolle

Die Cloud-Ressourcen aller Systeme sind durch rollenbasierte Zugriffskontrolle (RBAC) oder Zugriffskontrolllisten (ACL) gesichert. Der Zugriff auf Kundendaten ist nur für unsere Site-Reliability-Ingenieure mit separaten administrativen Benutzerkonten und erzwungener FIDO2-basierter Authentifizierung möglich, die durch Hardware-Tokens unterstützt wird.

7.2 Kontinuierliche Updates

Auf Infrastrukturebene gewährleisten wir das gleiche Sicherheitsniveau wie für die Anwendung, indem wir einen Mechanismus einrichten und pflegen, der kontinuierlich überprüft, ob neue Schwachstellen (CVEs) für unsere Infrastrukturkomponenten behoben werden müssen.

Hat dies Ihre Frage beantwortet?