Müssen Devs in der letzten Minute unter Druck Sicherheit anflanschen? Nein? Wieso haben wir denn dann keine Sicherheit angefordert? Lasst uns anschauen, was Sicherheitsanforderungen sind, wo sie herkommen und wie wir damit Sicherheit in die Softwareentwicklung und schließlich in unsere Anwendung bekommen.
In der geschäftlichen Softwareentwicklung konkurrieren sperrige nicht-funktionale Sicherheitsanforderungen um das Budget mit den funktionalen Anforderungen, für die Kunden unsere Software mögen und bezahlen. Geldgeber neigen dazu diese Funktionalität zu priorisieren. "Die Security"™ hat den Ruf als Mahner, Blockierer und Aufwandstreiber. Wieso eigentlich? Wieso taucht Security immer erst auf einer Checkliste auf, bevor das Deploy-Knöpfchen gedrückt wird und nicht früher? In diesem Vortrag schauen wir uns an, was eigentlich Sicherheitsanforderungen sind, woher sie stammen, wie konkret sie zum Teil explizit gefordert (und ignoriert) werden und wie wir mit dem Risikomanagement-Megaphon einen transparenten, verantwortlichen Umgang erreichen.
https://creativecommons.org/licenses/by-sa/4.0/