Java Magazin - 10.2016 - Security agil verankern


Erhältlich ab:  September 2016

Autoren / Autorinnen: Matthias Pöpping, Matthias Rohr, Christian Schneider, Michael Plöd, Sebastian Meyen, Peter Hruschka, Gernot Starke, Simon Scholz, Lars Vogel, Marco Schulz, Lars Röwekamp, Michael Müller, Angelika Langer, Klaus Kreft, Sven Ruppert, Dominik Schadow, Mario-Leander Reimer, Michael Hausenblas, Andreas Zitzelsberger, Eugen Melechow, Daniel Takai, Michael Schäfer, Rafael Kansy, Mark Lubkowitz

Es war einmal, da erkannte man, dass Softwareentwicklung eine komplexe und mit vielen Risiken verknüpfte Angelegenheit ist: Vieles kann schiefgehen. Ein sinnvolles Qualitätsniveau zu halten, ist ein täglicher Kampf. Missverständnisse zwischen Auftraggeber und Auftragnehmer machen Kommunikation zur Qual. Und Sicherheitsprobleme sind immer schon vorprogrammiert. Hinzu kommt das Problem der Produktivität – egal, wie viele Entwickler wir auch hinzufügen, die werden einfach nicht schneller!

Die agile Bewegung hat viele Ursachen solcher Probleme erkannt und Gegenvorschläge entwickelt. Test-driven Development zum Beispiel hilft, Qualitätsfragen nicht erst am Ende des Projekts durch externe Tester zu lösen, sondern bereits im Entwicklungsprozess zu adressieren. Kommunikation soll unbürokratisch, direkt, ohne Hürden der Hierarchie und in hoher Frequenz gemäß durchdachter Spielregeln – etwa Scrum – erfolgen. Und Produktivität, so lehren uns die Agilisten, lässt sich nicht durch quantitative Erhöhung der Ressourcen linear erhöhen. Sie kennen gewiss das Sprichwort, demzufolge neun Mütter in einem Monat nicht das erreichen können, was nur eine Mutter in neun Monaten schafft: ein Kind gebären.

Ich glaube, die fundamentalen Veränderungen, die durch agile Formen in die Welt der Softwareentwicklung gebracht wurden, können nicht hoch genug eingeschätzt werden! Merkwürdigerweise hat es bei dieser Modernisierung des Entwicklungsprozesses bis heute ein Stiefkind gegeben: die Security.

Security ist gemeinhin noch immer die Domäne der Experten und tritt typischerweise erst dann in Aktion, wenn ein bestehendes System nach Schwachstellen untersucht werden soll. Das erinnert an die Qualitätstests, wie sie früher einmal durchgeführt wurden: nach der Entwicklung, von Testexperten, die nicht weiter in den Entwicklungsprozess involviert sind.

Was wäre also, wenn wir analog zum bekannten Test-driven Development (TDD) die Disziplin „Security“ in alle Phasen der Entwicklung und des Deployments integrieren würden? Das wäre nur konsequent und im agilen Geiste.

Ich hoffe, unser umfassender Schwerpunkt bietet viel Inspiration und handfeste Ansätze für eine echte Securitykultur in Ihrem Team!

meyen_sebastian_sw.tif_fmt1.jpgSebastian Meyen, Chefredakteur

Website Twitter Google Xing Mail

Neugierig geworden?

Loading...

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang