Security-Oriented Software Development Framework

Et sikkerhetsorientert rammeverk for programvareutvikling

Sikkerhet må være en gjennomgripende kvalitet og egenskap både ved programvare og andre tekniske systemer. Den største utfordringen for å kunne bygge sikre systemer er å ha et bevisst og systematisk sikkerhetsfokus helt fra start til slutt i utviklingsprosessen – gjennom planlegging, kravspesifisering, design, implementering, testing, utrulling, vedlikehold og videreutvikling. I dette prosjektet utvikles det et rammeverk: SODA, a Security-Oriented Software Development Framework, som sikrer ivaretakelse av sikkerhetsfokus gjennom hele utviklingsprosessen.

Man kan dele opp livssyklusen til et programvaresystem i tre overordnede faser: 

• Utvikling (Development) – Programmet oppstår, videreutvikles eller modifiseres.
• Utrulling (Deployment) – Programmet gjøres klart for å settes i drift.
• Drift (Operation) – Programmet er i funksjonell bruk og trenger vedlikehold og ettersyn.

I SODA er utviklingsfasen det mest sentrale, og den kan igjen deles opp i følgende underfaser:

• Krav (Requirements) – Hva skal lages og hvordan skal det benyttes.
• Design – Hvilke løsninger velges for å oppfylle kravene.
• Implementasjon (Implementation) – Programmet konstrueres basert på design.
• Testing – Verifisering av programmet i henhold til krav.

I hver av disse fasene definerer SODA et sett med velegnede, komplementære teknikker eller metoder som gjør at programmet skal bli robust og inneholde så få sikkerhetshull som mulig. Sentralt i hele prosessen er risikovurdering, som er basis for valg og omfang av teknikkene.

SODA-prosjektet ønsker å samarbeide med utviklere og programvareselskap for å teste, måle og forbedre metodikk for sikkerhetsfokus i programvareutvikling.