Application Security
Secure Development Lifecycle
Sicherer Softwareentwicklungsprozess gemäß DORA Art. 16, OWASP SAMM v2 und BSI TR-03184. Von Threat Modeling über SAST/DAST bis zum gehärteten Deployment — alle Phasen des SDLC mit automatisierten Security-Gates und prüfbarer Dokumentation.
SDLC Pipeline
Fünfstufiger Secure Development Lifecycle mit automatisierten Security-Gates in jeder Phase.
Threat Modeling
STRIDE-Methodik zur systematischen Bedrohungsanalyse in der Design-Phase. Architekturbewertung mittels Angriffsvektoren und Datenflussdiagrammen.
Secure Coding
SAST-Analyse mit Larastan/PHPStan, Dependency-Scanning via Dependabot und GitGuardian Secret Detection im CI/CD-Pipeline-Gate.
Peer Review
Verpflichtendes 4-Augen-Prinzip bei jedem Merge-Request. Branch-Protection-Regeln mit zwingendem Approver und bestandener CI-Pipeline.
DAST + PenTest
Automatisierte DAST-Scans mit OWASP ZAP im Staging, jährlicher externer Penetrationstest und Security-Regression-Test-Suite.
Hardening
CSP-Header mit Nonce, Subresource Integrity, strikte RBAC-Durchsetzung auf API-Ebene, HSTS und TLS 1.3 Enforcement.
Security Controls
Implementierte und geplante Sicherheitskontrollen im Rahmen des Secure Development Lifecycle.
| Control ID | Beschreibung | Tool / Technologie | Status |
|---|---|---|---|
| SDL-001 | SAST (Static Application Security Testing) — Statische Code-Analyse auf Sicherheitsschwachstellen und Code-Smells | Larastan / PHPStan | aktiv |
| SDL-002 | Dependency Scanning — Automatisierte Überprüfung von Composer/NPM-Abhängigkeiten auf bekannte CVEs | Dependabot / Snyk | aktiv |
| SDL-003 | Secret Detection — Scannen von Commits und Repository-Historie auf Hartkodierte Secrets, Tokens und API-Keys | GitGuardian / truffleHog | aktiv |
| SDL-004 | DAST Scanning — Dynamische Applikations-Sicherheitstests gegen laufende Instanzen im Staging | OWASP ZAP | geplant |
| SDL-005 | Container Scanning — Schwachstellenanalyse von Docker-Images auf Betriebssystem- und Paketebene vor Deployment | Trivy / Docker Scout | integriert |
| SDL-006 | CSP Enforcement — Content Security Policy mit Nonce-basiertem Script-Management und Reporting-Endpoint | Laravel CSP | aktiv |
| SDL-007 | Code Review — Verpflichtendes 4-Augen-Prinzip mit Security-Fokus-Checkliste vor Merge in Main-Branch | 4-Eyes-Prinzip | aktiv |
| SDL-008 | SBOM Generation — Automatisierte Erstellung von Software Bill of Materials im CycloneDX-Format | CycloneDX PHP | aktiv |
OWASP Top 10:2021 — Mapping
Zuordnung der OWASP Top-10-Risikokategorien zu den implementierten SDL-Kontrollen.
DORA Art. 16 — Anforderungen
Die drei zentralen Abschnitte des Artikels 16 der DORA-Verordnung und ihre Umsetzung im Resilience Platform SDLC.
Sicherer SDLC
IKT-Risikomanagement-Rahmenwerk muss sichere Entwicklungsverfahren umfassen. Design-, Entwicklungs- und Wartungsprozesse müssen Sicherheitsanforderungen von Beginn an integrieren. Dokumentation der Sicherheitsarchitektur als Prüfungsnachweis.
Test & Validierung
Regelmäßige Sicherheitstests von IKT-Systemen, einschließlich Schwachstellen-Scans, Penetrationstests und Code-Analysen. Testfrequenz richtet sich nach Risikobewertung und Kritikalität des Systems.
Change Management
Formalisierter Änderungsmanagementprozess für IKT-Systeme mit Security-Impact-Assessment vor jeder Änderung. Genehmigungs-Workflow, Rollback-Planung und Post-Deployment-Validierung.
Verknüpfte Module
Weiterführende Ressourcen und verwandte Plattform-Module im Kontext der Applikationssicherheit.