Security Development Lifecycle

Security Development Lifecycle
QS-Informatik

Dieser Artikel wurde aufgrund von inhaltlichen Mängeln auf der Qualitätssicherungsseite der Redaktion Informatik eingetragen. Dies geschieht, um die Qualität der Artikel aus dem Themengebiet Informatik auf ein akzeptables Niveau zu bringen. Hilf mit, die inhaltlichen Mängel dieses Artikels zu beseitigen und beteilige dich an der Diskussion! (+)
Begründung: Wie weit wurde das Konzept ausgerollt, mehr Geschichte, weitere Quellen --Crazy1880 19:25, 24. Mai 2010 (CEST)

Trustworthy Computing Security Development Lifecycle (Abgekürzt SDL, zu Deutsch Entwicklungszyklus für vertrauenswürdigen Computereinsatz) ist ein 2004 von Microsoft veröffentlichtes Konzept zur Entwicklung von sicherer Software und richtet sich an Softwareentwickler, die Software entwickeln, die böswilligen Angriffen standhalten muss. Stark vereinfacht handelt es sich dabei um Gebote und Verbote, Tipps und Tools. [1] Es kam erstmalig bei der Entwicklung von Windows Vista zum Einsatz.[2]

Microsoft geht dabei von folgenden Grundsätzen aus:

Secure by design
Schon in der Planungsphase sollte auf die Sicherheitsbelange der Software eingegangen werden.
Secure by default
Trotz sorgfältigster Planung sollte ein Entwickler von dem Vorhandensein von Sicherheitslücken ausgehen. Aus diesem Grund sollten die Standardeinstellungen (z.B. erforderliche Privilegien) möglichst niedrig gewählt werden und selten benutze Features standardmäßig deaktiviert werden.
Secure in deployment
Die mitgelieferten Dokumentationen und Tools sollen die Administratoren dabei unterstützen, die Software möglichst optimal einzurichten.
Communications
Die Entwickler sollten offen mit möglichen Sicherheitslücken umgehen und den Endanwendern schnell Patches oder Workarounds zur Verfügung stellen.

Der SDL-Prozess

  1. Anforderungsphase: Identifikation der Sicherheitsanforderungen und Schutzziele der zu erstellenden Software und deren Schnittstellen
  2. Entwurfsphase: Identifikation der Komponenten, die grundlegend für die Sicherheit sind Risikomodellierung
  3. Implementierung: Verwendung von Tools und Test-Methoden sowie Code Reviews
  4. Überprüfungsphase: Beta Test mit Nutzern, systematische Suche nach Sicherheitsmängeln
  5. Veröffentlichung: Ist die Software auch wirklich reif für die Auslieferung
  6. Schaffung der Möglichkeit auf entdeckte Fehler und Schwachstellen schnell und zu reagieren

Quellen

  1. Steve Lipner und Michael Howard: Entwicklungszyklus für sichere Software. In: MSDN. 30. Mai 2005.
  2. Beschreibung der Verbesserungen in Windows Vista durch Nutzung des Security Development Lifecycle

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Microsoft Security Development Lifecycle — The Microsoft Security Development Lifecycle is a software development process used and proposed by Microsoft to reduce software maintenance costs and increase reliability of software concerning software security related bugs. It is based on the… …   Wikipedia

  • Trustworthy Computing Security Development Lifecycle — The Trustworthy Computing Security Development Lifecycle is a software development process used and proposed by Microsoft to reduce software maintenance costs and increase reliability of software concerning software security related bugs. It is… …   Wikipedia

  • Security and safety features new to Windows Vista — There are a number of security and safety features new to Windows Vista, most of which are not available in any prior Microsoft Windows operating system release.Beginning in early 2002 with Microsoft s announcement of their Trustworthy Computing… …   Wikipedia

  • HP Application Security Center — (ASC) is a set of solutions by HP Software (Formerly SPI Dynamics) [http://searchsecurity.techtarget.com/news/article/0,289142,sid14 gci1261345,00.html HP to acquire SPI Dynamics for Web security] , June 19, 2007 By SearchSecurity.com Staff] that …   Wikipedia

  • Application security — encompasses measures taken throughout the life cycle to prevent exceptions in the security policy of an application or the underlying system (vulnerabilities) through flaws in the design, development, deployment, upgradation,or maintenance of the …   Wikipedia

  • Certified Information Systems Security Professional — CISSP Logo Certified Information Systems Security Professional (CISSP) is an independent information security certification governed by International Information Systems Security Certification Consortium (ISC)². (ISC)² is a self declared… …   Wikipedia

  • Microsoft Internet Security and Acceleration Server — Infobox Software name = Microsoft Internet Security and Acceleration Server caption = Screenshot of ISA 2004 in wizard view developer = Microsoft latest release version = [http://technet.microsoft.com/en us/bb738392.aspx Microsoft Internet… …   Wikipedia

  • Web application development — is the process and practice of developing web applications Fact|date=February 2007.RiskJust as with a traditional desktop application, web applications have varying levels of risk. A personal home page is much less risky than, for example, a… …   Wikipedia

  • Information Lifecycle Management — NOTOC Information Lifecycle Management refers to a wide ranging set of strategies for administering storage systems on computing devices. Specifically, four categories of storage strategies may be considered under the auspices of ILM.PolicyILM… …   Wikipedia

  • Virtual Machine lifecycle management — is the class of management that looks at the lifecycle of a virtual machine from the viewpoint of the application vs one focused on roles within an organization. A number of major software vendors, including Microsoft and Novell, have begun to… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”