3 Gründe, warum Sicherheitsmaßnahmen schon früh getestet werden sollten

Mehr Sicherheit im Software-Entwicklungsprozess
Kommentare

Cyberattacken und immer neue Schwachstellen- und Malware-Funde schaffen es gerade in letzter Zeit wieder vermehrt in die Schlagzeilen. Kein Wunder also, dass der Schutz vor Angriffen und die Implementierung von Security-Maßnahmen bei Software-Projekten ganz oben auf der Prioritätsliste der Entwicklerteams stehen.

Doch wann sollte das Team mit dem Testing der Software-Sicherheit starten? Geht es nach Sanjay Zalavadia, so früh wie möglich – und dafür gibt es mehrere Gründe.

3 Gründe für eine frühe Implementierung von Sicherheitsmaßnahmen

Sowohl für das Entwickler- als auch das QA-Team ist der Software-Entwicklungszyklus ein intensiver Prozess, bei dem schon das Vernachlässigen eines Elements für unnötige Kosten und Verzögerungen bei der Auslieferung des Produkts sorgen kann. Gerade der Sicherheitsaspekt spielt dabei eine wichtige Rolle und sollte bereits so früh wie möglich in die Arbeit miteinbezogen werden.

Dafür nennt Sanjay Zalavadia zum Beispiel die folgenden drei Gründe:

1. Sicherheitsverletzungen schaden dem Ruf

Nutzen Unternehmen ihre Applikation beim Managen von Betriebsabläufen, etwa Inventuren oder Lohnabrechnungen, ist ein hohes Maß an Schutz wichtig. Hat eine böswillige Entity erstmal Zugriff auf diese Informationen, verliert das Unternehmen schnell nicht nur eine ganze Menge Geld, sondern auch das Vertrauen seiner Kunden. Dazu kommt der zeitliche Aufwand, den es bedarf, um das Sicherheitsproblem aus dem Weg zu räumen.
Oft entstehen solche Probleme, so erklärt Peter Gregory, wenn Programmen Audit-Trails und Prozesse zum Abschließen sicherer Einkäufe fehlen. Darum sollte eine solche Sicherheitsfunktionalität bereits so früh wie möglich implementiert werden, um später kostenintensive Sicherheitsverletzungen zu vermeiden.

2. Zugriff auf vertrauliche Daten ist geschäftsschädigend

Jedes Unternehmen verfügt über vertrauliche Daten und Dokumente, deren Verlust oder Veröffentlichung die Funktionsfähigkeit des Unternehmens schwer beeinflussen und in vielen Fällen auch geschäftsschädigend sein kann. Darum sollte der Schutz vor Angriffen und Sicherheitsverletzungen schon während des gesamten Entwicklungsprozesses im Vordergrund stehen.
Hier spielt auch die Arbeit des QA-Teams eine wichtige Rolle. Es muss dafür sorgen, dass die entsprechenden Sicherheitsmaßnahmen ergriffen und implementiert werden. Dazu sagt Sanjay Zalavadia:

testing the app for insufficient process validation, abuse of functionality, weak password recovery validation and information leakage will be critical to guarding the program.

3. Risiko-Bewertung vor dem Projektstart

Bevor überhaupt mit dem Projekt begonnen wird, sollte eine Risiko-Bewertung durchgeführt werden. Nicht alle Applikationen verfügen über das gleiche Level an Sicherheitsrisiken, die sich etwa daran orientieren, ob eine Applikation öffentlich zugänglich ist, oder ob sie die Verarbeitung sensibler Daten beinhaltet.
Vor allem für das QA-Team sind solche Informationen wichtig, um über die Sicherheits-Roadmap zu entscheiden. Genauso hilft ein solches Risk-Assessment dabei, schon in einem frühen Stadium des App-Designs über mögliche Sicherheitsrisiken im User Interface und Design der Applikation nachzudenken – und diese möglichst zu vermeiden.

Sicherheitsmaßnahmen sollten also so früh wie möglich im Entwicklungsprozess vorgenommen werden, um spätere kosten- und zeitintensive Sicherheitsverletzungen zu umgehen und so das Vertrauen der Kunden in ein Unternehmen nicht aufs Spiel zu setzen. Genauso, so sagt Sanjay Zalavadia abschließend, erleichtert ein solches Vorgehen dem QA-Team die Arbeit:

By building in protections early in the SDLC, QA teams can ensure that they will be better able to handle these threats without interruptions to regular business activities.

Aufmacherbild: safety first concept von Shutterstock / Urheberrecht: chaowalek julaketpotichai

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -