Mikä on SSDLC kyberturvallisuudessa?
SSDLC tarkoittaa Secure Software Development Life Cycle eli turvallista ohjelmistokehityksen elinkaarta. Se on kuin perinteisen ohjelmistokehityksen elinkaaren (SDLC) laajennus.
Sen sijaan, että turvallisuus käsiteltäisiin vasta viimeisessä vaiheessa ennen julkaisua, SSDLC-lähestymistapa sisällyttää turvallisuuden jokaiseen SDLC:n vaiheeseen, suunnittelusta, koodauksesta, testauksesta, käyttöönottoon ja ylläpitoon. Tavoitteena on käsitellä haavoittuvuusongelmia aikaisin, vähentää tulevaisuudessa kalliiden korjausten riskiä ja parantaa sovelluksen turvallisuutta.
Keskeiset käytännöt SSDLC:ssä
- Uhkamallinnus - uhkien tunnistaminen suunnitteluvaiheesta lähtien
- Turvallinen koodaus - turvallisen koodausstandardin noudattaminen haavoittuvuuksien estämiseksi
- Automaattinen turvallisuustestaus - turvallisuustyökalujen kuten SCA, SAST, DAST käyttö kehityksen aikana
- Koodin tarkastukset ja tunkeutumistestaus - manuaalisen validoinnin lisääminen yhdessä automaattisten turvallisuusskannausten kanssa
- Jatkuva seuranta - turvallisuuden ylläpitäminen tuotannossa
SSDLC vs SDLC
Molemmat ovat hyödyllisiä ohjelmistokehityksessä, mutta niillä on eri laajuudet:
| Näkökohta | SDLC | SSDLC |
|---|---|---|
| Keskittyminen | Ohjelmiston toiminnallisuus, suorituskyky ja toimitus. | Turvallisuus integroitu toiminnallisuuden ja suorituskyvyn rinnalle. |
| Turvallisuuden rooli | Usein huomioidaan myöhään syklissä (esim. ennen julkaisua tapahtuva testaus). | Sisällytetty kaikkiin vaiheisiin, suunnittelusta ylläpitoon. |
| Lopputulos | Ohjelmisto, joka toimii, mutta saattaa vaatia korjauksia julkaisun jälkeen. | Ohjelmisto, joka on suunniteltu turvalliseksi oletusarvoisesti, vähentäen haavoittuvuuksia. |
Lyhyesti, SDLC tarkoittaa ohjelmiston rakentamista, kun taas SSDLC tarkoittaa turvallisen ohjelmiston rakentamista.