Sicherer Software-Entwicklungslebenszyklus (SSDLC)

Ein SSDLC legt fest, wann und wie Sicherheitsarbeit in die Softwarelieferung eingebettet wird, anstatt sie als einmaliges Audit zu behandeln. Typische Phasen umfassen Sicherheitsanforderungen, Threat Modeling, Architektur-Reviews, Secure-Coding-Standards, Code-Reviews, SAST, SCA, DAST/IAST, Penetrationstests, Release-Gates und Laufzeit-Monitoring. Frameworks wie Microsoft SDL, OWASP SAMM und NIST SSDF beschreiben die Praktiken und Reifegrade. Der Nutzen ist eine planbare Risikoreduktion: Schwachstellen werden früh und günstig behoben, und Compliance-Nachweise entstehen als Nebenprodukt der regulären Entwicklungsarbeit.