| |
Titel: |
Der agile Secure Development Lifecycle anhand des Prozessmodells der Raiffeisen Software GmbH |
| |
AutorIn: |
Markus Klausmair |
| |
Typ: |
Bachelorarbeit
|
| |
ÖFOS 2012 Code: |
102016 IT-Sicherheit
|
| |
Institution: |
Ferdinand Porsche FernFH, Wiener Neustadt, WIBA |
| |
Betreuung: |
Peter Völkl |
| |
Datum: |
2023 |
| |
Abstract (de): |
Die vorliegende Bachelorarbeit behandelt die Problemstellung, dass auch in agilen
Vorgehensmodellen wie Scrum mit Releasezyklen von 14 Tagen, die regulatorischen Vorgaben
hinsichtlich Durchführung und Dokumentation von Sicherheitstests für Bankensoftware
eingehalten werden müssen. Die Fragestellung dazu lautet: „Ist es organisatorisch und
technisch möglich, einen agilen Secure Development Lifecycle in kurzen Durchlaufzeiten
von 14-Tage-Sprints durchzuführen, um das Risiko von unentdeckten Schwachstellen zu
minimieren und die entsprechenden Nachweise für die Regulatorik zu erbringen?“. Nach
der Aufbereitung der theoretischen Grundlagen und der Einbeziehung bereits vorhandener
Forschungsarbeiten zu diesem Thema, wird anhand der Prozessmodellierung eines agilen
Secure Development Lifecycles und einer darauf aufbauend Machbarkeitsstudie gezeigt, dass
dies – unter Einhaltung bestimmter Rahmenbedingungen – möglich ist. Die Bearbeitung des
vorliegenden Problems erfolgt stellvertretend für diese Softwarehäuser der Banken anhand der
Raiffeisen Software GmbH. Das Ergebnis dieser Bachelorarbeit kann aber - aufgrund gleich
geltender Gesetzeslage - auch für die anderen Unternehmen von Nutzen sein. |
| |
Abstract (en): |
This bachelor thesis deals with the problem that even in agile process models such as Scrum and
within 14-day release cycles, the regulatory requirements regarding the execution and
documentation of security tests for banking software must be met. The question for this is: "Is it
organizationally and technically possible to execute an agile Secure Development Lifecycle in
short lead times of 14-day sprints in order to minimize the risk of undiscovered vulnerabilities and
to provide the corresponding evidence for regulatory purposes?". After the preparation of the
theoretical basics and the inclusion of already existing research work on this topic, it is shown on
the basis of the process modeling of an agile Secure Development Lifecycle and a feasibility study
based on it that this is possible - if certain basic conditions are met. The treatment of the present
problem takes place representatively for these software houses of the banks on the basis
Raiffeisen Software GmbH. However, the results of this bachelor thesis can also be useful for
other companies due to the same legal situation. |
| |
Keywords (de): |
Agiler Secure Development Lifecycle, Agile Security, Agiler SDLC, Agile Penetrationtests, Agiles
Thread Modelling, Agile Application Security |
| |
Keywords (en): |
Agile Secure Development Lifecycle, Agile Security, Agile SDLC, Agile Penetrationtesting, Agile
Thread Modelling, Agile Application Security |
| |
|
|
| |
|
