Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Software-Entwickler"

From OWASP
Jump to: navigation, search
m (Basisrahmen für Seite erstellt)
(Neu: Text aus den Top 10-2010 übernommen (mit kleineren Anpassungen an 2013, Links auf das lokale Chapter Gerrmany)
Line 8: Line 8:
 
     |next=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=whatsNextforVerifiers|language=de}}
 
     |next=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=whatsNextforVerifiers|language=de}}
 
}}
 
}}
==TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST==
+
==TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) Text noch von 2010 TEST-TEST TEST==
  
 
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=startYourApplicationSecurityProgramNow|language=de}}|year=2013}}
 
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=startYourApplicationSecurityProgramNow|language=de}}|year=2013}}
 +
Unabhängig davon, ob man ein Neuling im Bereich der Webanwendungssicherheit ist, oder schon mit den erläuterten Gefahren vertraut ist – die Entwicklung einer neuen, sicheren Webanwendung, oder das Absichern einer bereits existierenden, kann sehr schwierig sein. Für die Betreuung eines großen Anwendungsportfolios mag das abschreckend wirken.
 +
 +
===Viele OWASP Ressourcen sind frei verfügbar===
 +
Um Organisationen und Entwicklern dabei zu helfen, ihre Anwendungssicherheitsrisiken kostengünstig zu reduzieren, stellt die OWASP zahlreiche frei zugängliche Ressourcen zur Verbesserung der Anwendungssicherheit zur Verfügung. Im Folgenden werden einige dieser OWASP Ressourcen vorgestellt, die Organisationen helfen können, sichere Webanwendungen zu erstellen. Auf der nächsten Seite stellen wir einige OWASP Ressourcen vor, die Organisationen dabei helfen können Ihre Anwendungs-sicherheit zu überprüfen.
 +
 +
{| cellspacing="1" cellpadding="1" border="0" width="100%;"
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Anforderungen an die Anwendungssicherheit
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
* * Um eine sichere Webanwendung zu erstellen, ist es wichtig, vorher zu definieren was "sicher" im Falle einer speziellen Anwendung bedeutet. Das OWASP empfiehlt dazu den [[ASVS | OWASP Application Security Verification Standard (ASVS)]] als Leitfaden zur Erstellung von Sicherheitsanforderungen. Bei Outsourcing der Anwendungsentwicklung empfiehlt sich der [[OWASP_Secure_Software_Contract_Annex | OWASP Secure Software Contract Annex]].
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/> Anwendungs-Sicherheits-Architektur
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
* Anstatt Sicherheit nachträglich in eine Anwendung zu implementieren, ist es kosteneffektiver, diese schon beim Design zu beachten. OWASP empfiehlt hierzu den [[OWASP_Guide_Project | OWASP Developer’s Guide]] und die [[Cheat_Sheets | OWASP Prevention Cheat Sheets]] als Startpunkt. Sie gelten als Leitfäden, wie Sicherheitsaspekte von Anfang an einfließen können.
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/> Standardisierte Sicherheitskontrollen
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
* Die Entwicklung starker und anwendbarer Sicherheitskontrollen ist recht schwierig. Standardisierte Sicherheitskontrollen für Entwickler vereinfachen die Entwicklung sicherer Anwendungen. Das OWASP empfiehlt dazu das [[ESAPI | OWASP Enterprise Security API (ESAPI) Project]] - ein Modell, dass APIs zur Entwicklung sicherer Anwendungen zur Verfügung stellt. ESAPI unterstützt Implementierungen in [[ESAPI |Java]], [[ESAPI |.NET]], [[ESAPI | PHP]], [[ESAPI | Classic ASP]], [[ESAPI | Python]], sowie [[ESAPI |Cold Fusion]].
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Sicherer Entwicklungszyklus (Secure&nbsp;Development&nbsp;Lifecycle SDLC)
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
* Um den Prozess zur sicheren Anwendungserstellung in einer Organisation zu verbessern, empfiehlt OWASP das [[SAMM | OWASP Software Assurance Maturity Model (SAMM)]]. Das Modell hilft bei der Formulierung und Umsetzung einer Software-Sicherheitsstrategie, die spezifische Risiken der eigenen Organisation berücksichtigt.
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|-
 +
|{{Top 10:RoundedBoxBegin|year=2013}}<br/>Anwendungs-Sicherheits-Ausbildung
 +
{{Top 10:RoundedBoxEnd|year=2013}}
 +
|{{Top 10:GrayBoxBegin|year=2013}}
 +
* Das [[Category:OWASP_Education_Project | OWASP Education Project]] bietet Material zur Schulung von Entwicklern im Bereich der Anwendungssicherheit und stellt eine Vielzahl an [[OWASP_Education_Presentation | OWASP Educational Presentations]] bereit. Praktische Erfahrungen über Schwachstellen können mithilfe des [[WebGoat | OWASP WebGoat-]], [[Category:OWASP_WebGoat.NET |  WebGoat.NET-]], oder des [[OWASP_Broken_Web_Applications_Project | OWASP Broken Web Applications-]]Projekts gesammelt werden. Um aktuell informiert zu bleiben, besuchen Sie die [[OWASP_AppSec_Conference |OWASP AppSec Conference]], ein OWASP Training, eines der [[Germany/Chapter_Meetings | lokalen OWASP Chapter Meetings]], oder einen [[Germany/Stammtisch_Initiative | OWASP Stammtisch]].
 +
{{Top 10:GrayBoxEnd|year=2013}}
 +
|}
 +
<br/>
 +
Es stehen zahlreiche weitere OWASP Ressourcen zur Verfügung. Besuchen Sie die OWASP Projects Seite, die eine Liste aller [[Projects | OWASP Projekte]], organisiert nach dem Qualitätsstatus der einzelnen Veröffentlichungen (Veröffentlicht, Beta oder Alpha) enthält. Viele OWASP Ressourcen sind in unserem Wiki verfügbar und können auch in [http://stores.lulu.com/owasp Papierformat] bestellt werden.
 +
 +
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  

Revision as of 07:19, 29 May 2013

← Top_10_fuer_Entwickler/A10_Ungeprüfte Um- und Weiterleitungen
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top 10 fuer Entwickler/Nächste Schritte für Prüfer →

TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) Text noch von 2010 TEST-TEST TEST

Starten Sie jetzt mit Ihrem Anwendungssicherheits-Programm!

Unabhängig davon, ob man ein Neuling im Bereich der Webanwendungssicherheit ist, oder schon mit den erläuterten Gefahren vertraut ist – die Entwicklung einer neuen, sicheren Webanwendung, oder das Absichern einer bereits existierenden, kann sehr schwierig sein. Für die Betreuung eines großen Anwendungsportfolios mag das abschreckend wirken.

Viele OWASP Ressourcen sind frei verfügbar

Um Organisationen und Entwicklern dabei zu helfen, ihre Anwendungssicherheitsrisiken kostengünstig zu reduzieren, stellt die OWASP zahlreiche frei zugängliche Ressourcen zur Verbesserung der Anwendungssicherheit zur Verfügung. Im Folgenden werden einige dieser OWASP Ressourcen vorgestellt, die Organisationen helfen können, sichere Webanwendungen zu erstellen. Auf der nächsten Seite stellen wir einige OWASP Ressourcen vor, die Organisationen dabei helfen können Ihre Anwendungs-sicherheit zu überprüfen.


Anforderungen an die Anwendungssicherheit

Anwendungs-Sicherheits-Architektur
  • Anstatt Sicherheit nachträglich in eine Anwendung zu implementieren, ist es kosteneffektiver, diese schon beim Design zu beachten. OWASP empfiehlt hierzu den OWASP Developer’s Guide und die OWASP Prevention Cheat Sheets als Startpunkt. Sie gelten als Leitfäden, wie Sicherheitsaspekte von Anfang an einfließen können.

Standardisierte Sicherheitskontrollen
  • Die Entwicklung starker und anwendbarer Sicherheitskontrollen ist recht schwierig. Standardisierte Sicherheitskontrollen für Entwickler vereinfachen die Entwicklung sicherer Anwendungen. Das OWASP empfiehlt dazu das OWASP Enterprise Security API (ESAPI) Project - ein Modell, dass APIs zur Entwicklung sicherer Anwendungen zur Verfügung stellt. ESAPI unterstützt Implementierungen in Java, .NET, PHP, Classic ASP, Python, sowie Cold Fusion.

Sicherer Entwicklungszyklus (Secure Development Lifecycle SDLC)
  • Um den Prozess zur sicheren Anwendungserstellung in einer Organisation zu verbessern, empfiehlt OWASP das OWASP Software Assurance Maturity Model (SAMM). Das Modell hilft bei der Formulierung und Umsetzung einer Software-Sicherheitsstrategie, die spezifische Risiken der eigenen Organisation berücksichtigt.

Anwendungs-Sicherheits-Ausbildung


Es stehen zahlreiche weitere OWASP Ressourcen zur Verfügung. Besuchen Sie die OWASP Projects Seite, die eine Liste aller OWASP Projekte, organisiert nach dem Qualitätsstatus der einzelnen Veröffentlichungen (Veröffentlicht, Beta oder Alpha) enthält. Viele OWASP Ressourcen sind in unserem Wiki verfügbar und können auch in Papierformat bestellt werden.



← Top_10_fuer_Entwickler/A10_Ungeprüfte Um- und Weiterleitungen
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top 10 fuer Entwickler/Nächste Schritte für Prüfer →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png