Auf dem November-Treffen von OWASP Frankfurt hat Jim Manico einen interessanten Vortrag über das OWASP Application Security Verification Standard Project gehalten. Dies ist ein Referenzmodell (wie z.B. CMMI) über die Entwicklung und das Testen sicherer Software. Ich empfehle jedem, der mit Software-Entwicklung zu tun hat, dort öfter man (am Anfang von Projekten) reinzuschauen.
Ich habe bei verschiedenen Projekten das Jahr über immer wieder mit den OWASP Top Ten zu tun gehabt, einer alle paar Jahre aktualisierten Liste der zehn kritischten Sicherheitsprobleme. Diese Liste ist gut geeignet um zu wissen, auf welche IT-Sicherheitsaspekte man im Allgemeinen aufgrund ihrer Verbreitung besonders achten sollte.
Natürlich hat jede Anwendung in ihrer eigenen Umgebung mit eigenen Problemem zu kämpfen; und nur, weil ein Sicherheitsproblem nicht in der Top Ten-Liste erscheint heißt natürlich nicht, dass es in einem konkreten Fall keine Rolle spielt. Jedoch fand ich es interessant von Manico zu hören dass es mittlerweile in der Realität oft der Fall wäre, dass Firmen sagen, ihre Software sei sicher, weil sie „gemäß der OWASP Top Ten-Liste” entwickelt wurde.
Das ist natürlich Blödsinn. Aber mal wieder ein interessantes Beispiel, wie gute Intentionen und Projekte missverstanden werden können, weil sie Leute zu Gesicht bekommen, die sich nur oberflächlich mit IT-Sicherheit beschäftigen.
Schreibe einen Kommentar