Security Coding Guidelines: Hilfe für Entwickler oder totes Pferd?
Nicht jeder ist ein Sicherheitsexperte: Aber Security betrifft alle Phasen des Lebenszyklus und erstreckt sich von der Hardware über die Systemebene bis zur Applikation. Wie sollen Entwickler alles von Eingabeprüfung, Auswahl des Kryptoalgorithmus bis zu Compilereinstellungen richtig anwenden, ohne den Überblick zu verlieren?
Gerade IoT-Systeme bestehen aus unterschiedlichen Komponenten, vom MEMS-Device bis zur Cloud, mit ihren Betriebssystemen, typischen Sprachen, Software Stacks und damit spezifischen Schwächen und Lösungen. Während ein Embedded-Entwickler Type Conversions oder Buffer Overflows berücksichtigen muss, interessiert den Webentwickler eher Cross-site Scripting. Der eine redet von Safety, der andere von SaaS. Es treffen unterschiedliche Tool Chains und Kulturen zusammen. Dennoch muss ein gemeinsames Sicherheitsniveau etabliert werden. Die Herausforderung ist es, im heterogenem Umfeld Richtlinien und Werkzeuge einzusetzen, die von Entwicklern angenommen werden, weil sie hilfreich statt hinderlich sind.
Vorkenntnisse
Ein weitergehendes Verständnis von Begriffen zu Security wie Buffer Overflow oder Tokenization ist zum Verständnis hilfreich, aber nicht notwendig.
Lernziele
Wie man Security Guidelines zielgerichtet einsetzt und Dokumentengräber vermeidet, sodass jeder im Entwicklungsteam weiß, welche Security-Maßnahmen wo, wann und von wem berücksichtigt werden müssen und wie diese validiert werden.