Fragen? Antworten! Siehe auch: Alternativlos
Ihr habt mir jetzt also alle Listen geschrieben, dass ihr erst eine Requirements-Analyse macht, und so weiter. Das ist schon mal nicht schlecht, aber meine Frage nach "funktioniert das" bezog sich auf Security.
Was ich eigentlich von euch wissen wollte: Was macht ihr so für Schritte in euren SDLs für die Security, und welche Maßnahmen davon bringen wirklich mehr Security?
Vielleicht sicherheitshalber noch ein bisschen konkreter.
Viele SDLs haben für die Security so Schritte drin wie in der Planungsphase ein Threat Model, in der Entwicklungsphase automatisierte Codescanning-Tools, vielleicht noch "du kannst nur Code einchecken, der ohne Compilerwarnungen baut" oder sowas, und danach gibt es häufig Pentests in der Testing-Phase.
Ich habe da jeweils eine Meinung zu, die ich jetzt gerne mal mit einer Messung auf ein solideres Fundament stellen möchte.
Ich hätte also gerne eine Liste, was ihr so für Security-Schritte habt, und wie das so läuft. Da erwarte ich jetzt nicht, dass ihr das wirklich wisst, ob das wirkt oder nicht, ein Gefühl würde mir reichen.
Nehmen wir als Beispiel mal die Codescanning-Tools. Die sind inzwischen echt verbreitet, aber in der Praxis sieht man gerne mal, dass diese Tools eingebaut werden, 23 GB Logdateien mit Warnungen ausspucken, und dann regelt man die Tools solange runter, bis eine immer noch überwältigende aber theoretisch bearbeitbare Liste von Warnungen rauskommt, die man dann auf die Entwickler verteilt. Die gucken sich das dann an und finden eine Menge False Positives darunter und ab da nehmen die die Tools nicht mehr ernst und machen das nur noch aus Compliance weiter, wenn überhaupt.
Das wäre ein Beispiel für einen Schritt, den man macht, aber der nicht wirklich etwas gebracht hat. Aber das hier soll eine Messung werden, keine Bestätigung. Insofern bin ich auch daran interessiert, wenn ihr Codescanner einsetzt und das wirklich funktioniert hat. Die Codequalität ist besser, die Entwickler sind an Bord, und es ist nicht bloß etwas, das man macht, um keine Complianceverletzungsprozesse anzustoßen.