Security Development Lifecycle

Trustworthy Computing Security Development Lifecycle (Abgekürzt SDL, zu Deutsch Entwicklungszyklus für vertrauenswürdigen Computereinsatz) ist ein 2004 von Microsoft veröffentlichtes Konzept zur Entwicklung von sicherer Software und richtet sich an Softwareentwickler, die Software entwickeln, die böswilligen Angriffen standhalten muss. Stark vereinfacht handelt es sich dabei um Gebote und Verbote, Tipps und Tools. ^[1] Es kam erstmals bei der Entwicklung von Windows Vista zum Einsatz.^[2]

Beteilige dich an der Diskussion!

Dieser Artikel wurde wegen inhaltlicher Mängel auf der Qualitätssicherungsseite der Redaktion Informatik eingetragen. Dies geschieht, um die Qualität der Artikel aus dem Themengebiet Informatik auf ein akzeptables Niveau zu bringen. Hilf mit, die inhaltlichen Mängel dieses Artikels zu beseitigen, und beteilige dich an der Diskussion! (+)

Begründung: Wie weit wurde das Konzept ausgerollt, mehr Geschichte, weitere Quellen --Crazy1880 19:25, 24. Mai 2010 (CEST)

SDL ist weiterhin in die Softwareentwicklung bei Microsoft eingebunden; 2011 zog die Trustworthy Computing Group des Unternehmens eine Zwischenbilanz über die bisher erreichten Ergebnisse mit dieser Methode.^[3]^[4]

Microsoft geht bei SDL von folgenden Grundsätzen aus:

Secure by design: Schon in der Planungsphase sollte auf die Sicherheitsbelange der Software eingegangen werden.
Secure by default: Trotz sorgfältigster Planung sollte ein Entwickler von dem Vorhandensein von Sicherheitslücken ausgehen. Aus diesem Grund sollten die Standardeinstellungen (z.B. erforderliche Privilegien) möglichst niedrig gewählt werden und selten benutze Features standardmäßig deaktiviert werden.
Secure in deployment: Die mitgelieferten Dokumentationen und Tools sollen die Administratoren dabei unterstützen, die Software möglichst optimal einzurichten.
Communications: Die Entwickler sollten offen mit möglichen Sicherheitslücken umgehen und den Endanwendern schnell Patches oder Workarounds zur Verfügung stellen.

Der SDL-Prozess

Anforderungsphase: Identifikation der Sicherheitsanforderungen und Schutzziele der zu erstellenden Software und deren Schnittstellen
Entwurfsphase: Identifikation der Komponenten, die grundlegend für die Sicherheit sind Risikomodellierung
Implementierung: Verwendung von Tools und Test-Methoden sowie Code Reviews
Überprüfungsphase: Beta Test mit Nutzern, systematische Suche nach Sicherheitsmängeln
Veröffentlichung: Ist die Software auch wirklich reif für die Auslieferung
Schaffung der Möglichkeit auf entdeckte Fehler und Schwachstellen schnell und zu reagieren

Einzelnachweise

↑ Steve Lipner und Michael Howard: Entwicklungszyklus für sichere Software. In: MSDN. 30. Mai 2005.
↑ Beschreibung der Verbesserungen in Windows Vista durch Nutzung des Security Development Lifecycle
↑ http://www.microsoft.com/en-us/download/details.aspx?id=14107
↑ http://heise.de/-1219377

Weblinks

Microsoft Security Development Lifecycle
A Look Inside the Security Development Lifecycle at Microsoft: Michael Howard in MSDN Magazine, 11/2005
Der Microsoft-SDL: Niklaus Schild in heise Developer, 19.08.2009
SDL für Dummys: Uli Ries in heise Security, 02.02.2010
Microsoft stellt SDL für Agile-Softwareentwicklung vor: Daniel Bachfeld in heise Security, 10.11.2009

[1] Steve Lipner und Michael Howard: Entwicklungszyklus für sichere Software. In: MSDN. 30. Mai 2005.

[2] Beschreibung der Verbesserungen in Windows Vista durch Nutzung des Security Development Lifecycle

[3] ttp://www.microsoft.com/en-us/download/details.aspx?id=14107

[4] ttp://heise.de/-1219377

[1]

[2]

[3]

[4]