Shift Left der IT-Sicherheit im agilen Software Development Life Cycle (SDLC) einer Webanwendung, Mirko Sevkov

Mirko Sevkov

Kurzfassung

Aufgrund zunehmender IT-Sicherheitsvorfälle, ausgelöst durch Schwachstellen in Softwareprodukten, insb. in Webanwendungen, stellt die Überprüfung sicherheitsrelevanter Aspekte einen bedeutsamen Teil im Softwareentwicklungsprozess dar. Allerdings ist die Berücksichtigung der IT-Sicherheit oftmals nicht an die modernen agilen Prozesse des Software Development Life Cycle (SDLC) angepasst, wodurch es zu Verzögerungen in der Beseitigung von Schwachstellen und somit ggf. zur vorläufigen Auslieferung unsicherer Software kommen kann.
Diese Bachelorarbeit zeigt auf, wie mithilfe von Prinzipien der Anwendungssicherheit ein im Allgemeinen sicherer und gleichzeitig agiler SDLC erreicht werden kann, sprich wie sich ein sog. Shift Left der IT-Sicherheit umsetzten lässt. Dies geschieht am Beispiel einer realen Webanwendung. Zu diesem Zweck wurde eine Ist-Erhebung des SDLC der besagten Webanwendung durchgeführt, um den Ist-Zustand in Bezug auf Maßnahmen der IT-Sicherheit zu ermitteln. Anschließend ließ sich dieser im Rahmen der Ist-Analyse bewerten, sodass auf Grundlage dieser Auswertung ein Soll-Konzept für einen möglichen Shift Left der IT-Sicherheit im SDLC der besagten Webanwendung entwickelt werden konnte.
Schlagwörter: Agile Softwareentwicklung, Anwendungssicherheit, DevSecOps, OWASP SAMM, Shift Left der IT-Sicherheit, Sicherer SDLC
Abstract

Keywords: Agile Software Development, Application Security, DevSecOps, OWASP SAMM, Shift Left Security, Secure SDLCSmartphones haben eine große Bedeutung für die digitale Forensik. Wegen der Fülle an mögli-chen Beweismitteln ist ein Smartphone, welches in einen Kriminalfall verwickelt ist, eines der interessantesten Ziele für einen Ermittler. Aber genau diese großen Mengen an Daten werden zunehmend problematischer: Hunderte Gigabyte pro Gerät sind heutzutage üblich. Das sorgt da-für, dass die Extraktion und die Analyse der Daten immer länger dauern. Mit steigenden Beweis-mittel Mengen steigt auch automatisch das Risiko, Beweise zu übersehen oder zwecks Mangel an Zeit nicht untersuchen zu können. Hierbei hilft die forensische Triage: Sie wird vor der voll-ständigen Extraktion eines Smartphones durchgeführt, um im Voraus bestimmen zu können, bei welchen Geräten sich die Untersuchung lohnt bzw. welche besonderen (Daten-)Bereiche dieser Geräte ermittlungstechnisch relevant sein könnten. Dieser wegweisende Effekt der Triage be-schleunigt die nachfolgenden Untersuchungen und kann besonders bei zeitkritischen Fällen zu entscheidenden Erfolgen führen. Deshalb soll im Rahmen dieser Arbeit für das LKA NRW (Lan-deskriminalamt Nordrhein-Westfalen) ermittelt werden, welche und wie viele Daten eines And-roid-Smartphones dem Forensiker direkt zugänglich gemacht werden können. Dazu wird eine App entwickelt, die die Daten in einem menschen- und maschinenlesbaren Format unmittelbar auf die forensische Workstation ausgibt. Unterschieden und verglichen wird dabei zwischen ei-nem gerooteten und einem nicht gerooteten Gerät.

Schlagwörter: Agile Softwareentwicklung, Anwendungssicherheit, DevSecOps, OWASP SAMM, Shift Left der IT-Sicherheit, Sicherer SDLC

Abstract

Due to increasing IT security incidents triggered by vulnerabilities in software products, especially in web applications, the review of security-relevant aspects is an important part of the software development process. However, the consideration of IT security is often not adapted to the modern agile processes of the Software Development Life Cycle (SDLC), which can lead to delays in the elimination of vulnerabilities and thus possibly to the preliminary delivery of insecure software. This bachelor thesis shows how a generally secure and at the same time agile SDLC can be achieved with the help of principles of application security, i.e., how a so-called shift left of IT security can be implemented. This is done using the example of a real web application. For this purpose, an as-is survey of the SDLC of the web application in question was conducted to determine the current state with regard to IT security measures. This was then evaluated as part of the as-is analysis, so that a target concept for a possible shift left in IT security in the SDLC of the web application in question could be developed based on this evaluation..

Keywords: Agile Software Development, Application Security, DevSecOps, OWASP SAMM, Shift Left Security, Secure SDLC