Hvad er SSDLC i Cybersikkerhed?
SSDLC står for Secure Software Development Life Cycle. Det er som en udvidelse af den traditionelle Software Development Life Cycle (SDLC).
I stedet for at behandle sikkerhed i det sidste trin før udgivelse, integrerer SSDLC-tilgangen sikkerhed i alle faser af SDLC, fra design, kodning, testning til implementering og vedligeholdelse. Målet er at adressere sårbarhedsproblemer tidligt, reducere risikoen for dyre rettelser i fremtiden og forbedre sikkerheden i applikationen.
Nøglepraksis i SSDLC
- Trusselsmodellering - identificere trusler fra designfasen
- Sikker kodning - følge den sikre kodningsstandard for at forhindre sårbarheder
- Automatiseret sikkerhedstest - bruge sikkerhedsværktøjer som SCA, SAST, DAST under udvikling
- Kodegennemgang og penetrationstest - tilføje manuel validering sammen med automatiserede sikkerhedsscanninger
- Kontinuerlig overvågning - opretholde sikkerhed i produktion
SSDLC vs SDLC
Begge er nyttige i softwareudvikling, men har forskellige omfang:
| Aspekt | SDLC | SSDLC |
|---|---|---|
| Fokus | Funktionalitet, ydeevne og levering af software. | Sikkerhed integreret sammen med funktionalitet og ydeevne. |
| Sikkerhedsrolle | Ofte betragtet sent i cyklussen (f.eks. test før udgivelse). | Indlejret gennem alle faser, fra design til vedligeholdelse. |
| Resultat | Software der fungerer, men kan have behov for rettelser efter udgivelse. | Software designet til at være sikker som standard, hvilket reducerer sårbarheder. |
Kort sagt, SDLC handler om at bygge software, mens SSDLC handler om at bygge sikker software.