SIT_Logo

Volles Haus und rege Diskussionen beim CAST-Seminar „Sichere Software entwickeln“

  • Mit etwa 50 Teilnehmern ausgebucht war das CAST-Seminar „Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge“ am 25. April 2013 in Darmstadt. Rege Diskussionen begleiteten die Fachvorträge über Zertifizierung, Reifegrade, Entwicklertraining, Code-Scanning, Entwurfsmethoden und Sicherheitsarchitekturen. Einig waren sich Referenten und Teilnehmer darin, dass sichere Software nicht vom Himmel fällt, sondern aus der Kombination vielfältiger Maßnahmen resultiert. Oft kommt es zu auch zu Konflikten zwischen Sicherheit und anderen Anforderungen, die identifiziert und gelöst werden müssen. Organisiert wurde das Seminar vom Competence Center for Applied Security Technology CAST e.V., das Programm gestalteten das webMethods Development Security Team der Software AG und das Security Test Lab des Fraunhofer-Instituts SIT. Wegen des großen Interesses planen die Organisatoren Folgeveranstaltungen zum Thema.

  • Die sechs Vorträge beleuchteten Probleme der Softwaresicherheit und Vorgehensweisen zu ihrer Lösung aus unterschiedlichen Perspektiven. Wouter Slegers (Your Creative Solutions), Experte für Sicherheitsevaluierung und –zertifizierung, erläuterte die Grenzen von Zertifizierungsverfahren. Auch zertifizierte Produkte können unsicher sein, wenn man die dokumentierten Annahmen und Gültigkeitsbedingungen einer Sicherheitsprüfung nicht berücksichtigt.

    Mit seiner Vorstellung des Reifegradmodells OpenSAMM für die Entwicklung sicherer Software spannte Bruce Sams (OPTIMAbit) eine Landkarte der Handlungsfelder und Maßnahmen auf. OpenSAMM hilft Organisationen dabei, ihre Vorgehensweisen zu bewerten und zu systematisieren, ohne dabei einen starren Entwicklungsprozess vorzuschreiben. Eine der zwölf Praktiken aus OpenSAMM ist Entwicklertraining. Petra Barzin (Secorvo) stellte das Ausbildungs- und Zertifizierungsprogramm CPSSE des International Secure Software Engineering Council (ISSECO) für Softwareentwickler vor. Entwickler können mit einem CPSSE-Zertifikat Grundwissen über die Entwicklung sicherer Software nachweisen. Künftig sollen darauf aufbauend weitere Schulungs- und Prüfungsbausteine entstehen.

    Praktische Werkzeuge und Vorgehensweisen beleuchteten die Vorträge von Heiko Weber (Software AG), Chris Eng (Veracode) und Oliver Zendel (BSI). Heiko Weber gab Einblicke in die praktische Anwendung von Code-Scanning-Werkzeugen bei der Software AG und ihre Einbettung in einen agilen Entwicklungsprozess. Im Anschluss erklärte Chris Eng, wie statische Analysen Sicherheitsschwachstellen in Binärcode identifizieren. Ein automatischer Codescan findet zwar nicht alle Sicherheitsprobleme, aber er kann viele typische Programmierfehler erkennen und den Entwicklern melden. Oliver Zendel betrachtete den Entwicklungsprozess für sichere Software von der Anforderungsanalyse bis zum Test und stellte Werkzeuge und Vorgehensweisen für jeden Schritt vor. Ein grundlegendes Problem ist dabei die Komplexität moderner IT-Systeme. Entwickler sicherer Systeme müssen in jedem Schritt eine Balance zwischen Tiefe und Aufwand finden und häufig auch Konflikte zwischen Sicherheit und anderen Anforderungen lösen.

    Zum Abschluss gab Eric Bodden (EC-SPRIDE) Einblicke in seine Forschung. Er demonstrierte das Komplexitätsproblem praktisch an einem aktuellen Java-Exploit, der eine Reihe von Fehlern und Umwegen zu einem Angriff kombiniert. Dabei erläuterte er die Sicherheitsarchitektur von Java und ihre Evolution, und verglich sie mit der Android-Architektur. Durch das Programm führten Albert Zenkoff (Software AG) und Sven Türpe (Fraunhofer SIT).

    Das große Interesse an diesem Seminar zeigt, wie bedeutsam Sicherheit in der Softwareentwicklung geworden ist. Die Organisatoren CAST e.V., Software AG und Fraunhofer SIT planen, in Zukunft weitere Veranstaltungen zum Thema zu organisieren.

    Weitere Informationen