Anwendungssicherheit
Shift-Left-Security
Auch bekannt als: Shift left, Frühzeitige Sicherheitstests
Definition
Praxis, Sicherheitsaktivitäten früher im Software-Lebenszyklus zu verankern, damit Schwachstellen gefunden und behoben werden, bevor Code in Produktion geht.
Beispiele
- Einen Semgrep-Pre-Commit-Hook einrichten, damit Entwickler Findings vor dem Push sehen.
- Checkov in der CI gegen Terraform laufen lassen, um unsichere Cloud-Konfigurationen zu blockieren.
Verwandte Begriffe
DevSecOps
Eine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.
Sicherer Software-Entwicklungslebenszyklus (SSDLC)
Entwicklungslebenszyklus, in den Sicherheitsaktivitäten in jede Phase integriert sind – von Anforderungen und Design über Coding, Tests, Release bis zum Betrieb.
SAST (Static Application Security Testing)
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
SCA (Software Composition Analysis)
Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.
Bedrohungsmodellierung
Strukturierte Analyse, die Assets, Bedrohungen, Schwachstellen und Gegenmaßnahmen eines Systems identifiziert, damit Sicherheit im Design verankert und nicht nachträglich ergänzt wird.
Secure Coding
Secure Coding — definition coming soon.