Vorlesungsbeschreibung: Secure Systems Lifecycle Management (SSLM)
Nach erfolgreichem Abschluss dieses Moduls besitzen die Studierenden Kenntnisse und Fertigkeiten zu:
- Best Practices sowie bestehenden Frameworks während der Entwicklung von IT-basierten Systemen für sichere Software
- Entwicklung von Akzeptanzkriterien für nicht-funktionale Sicherheitsanforderungen
- Durchführung von Bedrohungsmodellierungen
- Vermeidung von Schwachstellen während der Entwicklung
- Durchführung von Sicherheitstests
- Sicherem Installieren und Betreiben von Software
- Etablierung eines Security Response Programms
- Analyse von bestehender Software auf Sicherheitsschwachstellen
- Entwicklung und Umsetzung eines Schutzprogramms für Software während der Systementwicklung
- Etablierung eines Management-Systems für Sicherheit im Entwicklungsprozess, Integrieren dieses Management- Systems in einen ggf. vorhandenen Qualitätsprozess
- Durchführung von Sicherheitsanalysen („Hacking“)
- Darstellung von Untersuchungsergebnissen
Grundsätze der sicheren Software-Entwicklung:
- Sicherheitsanforderungen
- Sicheres Design und Bedrohungsmodellierung
- Architekturanalysen
- Sicheres Kodieren
- Sicherheitstests
- Sichere Einrichtung
- Security Response
- Schutz der eigenen Software vor Manipulation und Know- how-Diebstahl
Interaktiver Mix aus Vorlesung, Übungen am eigenen Computer, Übungen im Labor, Erarbeiten und Vortragen von Inhalten, Demonstration von Konzepten, praktischen Aufgaben in Gruppen.
Deutsch und Englisch
Praktische Arbeit und Referat oder mündliche Prüfung
6
Workload: 180 h = 60 h Präsenz-, 120 h Eigenstudium (inkl. Prüfungsvorbereitung und Prüfungen)
Paulus, Sachar M. (2011), „Basiswissen Sichere Software. Aus- und Weiterbildung zum ISSECO Certified Professional for Secure Software Engineering“, 1., neue Ausg. Heidelberg, Neckar: Dpunkt (ISQL-Reihe).
Müller, Klaus-Rainer (2014): „IT-Sicherheit mit System, Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement – Sicherheitspyramide – Standards und Practices – SOA und Softwareentwicklung“. 5., neu bearb. U. erg. Aufl. Wiesbaden: Springer Vieweg.
Shoestack, A.: threat modeling, designing for security, John Wiley & Sons, 2014.
Metasploit: “A Penetration Tester’s Guide”, Kennedy, No Starch Press, 2011.
F. Long, JAVA Coding Guidelines, Addison-Wesley, 2013.
M. Howard, D. DeBlanc, Sichere Software programmieren, Microsoft Press, 2002.
J. Caballero, Engineering Secure Software and Systems, 8th intl. Symposium ESSoS16, Springer, 2016.
Lipner, S.: The trustworthy computing security development lifecycle, in: Computer Security Applications Conference, 2004. 20th Annual Conference, S. 2-13, 2004.
Weitere Vertiefung ist in den Pflichtgebieten „Wissenschaftliches Arbeiten“ und „Projekt“ möglich.