Alle Kollektionen
DSGVO und Datensicherheit
Secure Software Development Lifecycle
Secure Software Development Lifecycle

Sichere Innovationen, von der Konzeption bis zur Umsetzung

Vor ├╝ber einer Woche aktualisiert

Allgemeines

DevSecOps ist ein Ansatz fu╠łr das Software-Engineering, der die Sicherheit in den Vordergrund stellt und Sicherheitspraktiken in den gesamten Lebenszyklus der Softwareentwicklung (SDLC) einbezieht, indem er Entwicklung und Betrieb miteinander verbindet. Ferner orientieren wir uns am OpenSAMM Framework. Bei Clever Elements werden die folgenden Sicherheitsaktivita╠łten innerhalb des DevSecOps-Zyklus durchgefu╠łhrt.


1 Plan

Bereits in der Planungsphase wird die Sicherheit bei der Priorisierung von Issues beru╠łcksichtigt. Sicherheitsprobleme werden mit einem entsprechenden Security-Flag im Ticketsystem priorisiert und anschlie├čend bearbeitet.

2 Code

Alle Quellcodea╠łnderungen erfordern einen Eintrag im A╠łnderungsprotokoll, in dem die vorgenommenen A╠łnderungen beschrieben werden. Die Entwickler werden fu╠łr die Einhaltung der (Sicherheits-) Best-Practice-Richtlinien geschult. Clever Elements hat au├čerdem ein 4-Augen-Prinzip fu╠łr alle A╠łnderungen eingefu╠łhrt, bei dem ein zweiter Entwickler die (potenziellen) A╠łnderungen u╠łberpru╠łfen und besta╠łtigen muss (obligatorische Peer Review).

3 Build

Jede Version wird kontinuierlich (ta╠łglich) auf bekannte Sicherheitslu╠łcken hin u╠łberpru╠łft:

  • Scannen mittels Static Application Security Testing Tool (SAST)

  • OWASP Dependency Checker als Software Composition Analysis (SCA) Tool zum Aufspu╠łren von o╠łffentlich bekannt gewordenen Schwachstellen, die in Abha╠łngigkeiten enthalten sind

4 Test

Innerhalb der Entwicklungspipeline werden umfangreiche Unit-, Integrations- und Frontend-Tests durchgefu╠łhrt, um die ordnungsgema╠ł├če Integration jeder A╠łnderung sicherzustellen und mo╠łgliche negative Auswirkungen zu reduzieren. Jede A╠łnderung und Erweiterung bei Clever Elements wird in einer vollsta╠łndigen und unabha╠łngigen Testumgebung ohne Einbeziehung von Kundendaten getestet.

5 Release

Clever Elements folgt der branchenu╠łblichen Best Practice, indem es eine dreistufige Umgebung fu╠łr Entwicklung, Test und Produktion hat, die vollsta╠łndig voneinander getrennt sind. Der Entwicklungszweig wird wo╠łchentlich in die Testumgebung u╠łbertragen. Nach einer einwo╠łchigen Testphase (User Acceptance Test), in der die Clever Elements-Mitarbeiter die neue Version in ihrem Arbeitsalltag kennenlernen, wird die Version in die Produktionsumgebung u╠łbertragen.

6 Deploy

Clever Elements setzt standardisierte Container-Images fu╠łr die Produktionsumgebung ein. Grundlage fu╠łr die Container sind geha╠łrtete Images und Konfigurationen nach Best-Practice-Standards des jeweiligen Herstellers (Image Assurance).

7 Operate

7.1 Zugangskontrolle

Die Cloud-Ressourcen aller Systeme sind durch rollenbasierte Zugriffskontrolle (RBAC) oder Zugriffskontrolllisten (ACL) gesichert. Der Zugriff auf Kundendaten ist nur fu╠łr unsere Site-Reliability-Ingenieure mit separaten administrativen Benutzerkonten und erzwungener FIDO2-basierter Authentifizierung mo╠łglich, die durch Hardware-Tokens unterstu╠łtzt wird.

7.2 Kontinuierliche Updates

Auf Infrastrukturebene gewa╠łhrleisten wir das gleiche Sicherheitsniveau wie fu╠łr die Anwendung, indem wir einen Mechanismus einrichten und pflegen, der kontinuierlich u╠łberpru╠łft, ob neue Schwachstellen (CVEs) fu╠łr unsere Infrastrukturkomponenten behoben werden mu╠łssen.

Hat dies Ihre Frage beantwortet?