Compliance-Lexikon · CRA
Secure Development Lifecycle
[sɪˈkjʊə dɪˈvɛləpmənt ˈlaɪfsaɪkl] auch: SDL, SSDLC
Der Secure Development Lifecycle (SDL) ist ein strukturierter Softwareentwicklungsprozess, der Sicherheitsaktivitaeten in jeder Phase verankert - von Anforderungsanalyse ueber Design, Implementierung, Test bis Release und Wartung - als methodische Grundlage zur Erfuellung der CRA-Anforderungen an sichere Produktentwicklung.
Warum ein strukturierter SDL die CRA-Compliance operationalisiert
Secure by Design ist das Prinzip, der Secure Development Lifecycle ist die Methode, es umzusetzen. Ein SDL definiert konkrete Sicherheitsaktivitaeten fuer jede Entwicklungsphase: Threat Modeling in der Designphase, statische Code-Analyse in der Implementierung, Penetrationstests vor dem Release und kontinuierliches Schwachstellenmanagement nach der Veroeffentlichung. Ohne diese Struktur bleibt Secure by Design eine unverbindliche Absichtserklaerung.
Wo ein SDL gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| NIST SP 800-218 | vollstaendig | Secure Software Development Framework als international anerkannter SDL-Standard. |
| CRA | Art. 10 Abs. 2 | Anforderungen an den Entwicklungsprozess: SDL als methodische Umsetzung der CRA-Pflichten. |
| ISO 27034 | vollstaendig | Application Security: Internationaler Standard fuer sichere Anwendungsentwicklung. |
| OWASP SAMM | vollstaendig | Software Assurance Maturity Model als praktisches SDL-Reifegradmodell. |
| Microsoft SDL | vollstaendig | Urspruengliches, weit verbreitetes Referenzmodell fuer Secure Development Lifecycle. |
BAM-Objektreferenz
Haeufige Fehler
- Sicherheitsaktivitaeten nur am Ende des Entwicklungszyklus (Pruefung vor Release)
- Kein dokumentierter SDL-Prozess, sondern ad hoc je nach Projekt
- Entwicklerteams ohne Security-Schulung in den SDL-Prozess eingebunden
- Keine Sicherheitsgates, die ein Release ohne erfuellte Kriterien verhindern
SDL-Phasen im Ueberblick
Ein vollstaendiger SDL umfasst: Anforderungsphase (Sicherheitsanforderungen definieren), Designphase (Threat Modeling, Architektur-Review), Implementierungsphase (sichere Coding-Standards, statische Analyse), Testphase (dynamische Sicherheitstests, Penetrationstests), Releasephase (finale Sicherheitspruefung, SBOM-Erstellung) und Wartungsphase (kontinuierliches Schwachstellenmanagement, Patch-Prozess, Vulnerability Disclosure). Jede Phase sollte mit definierten Erfolgskriterien (Security Gates) versehen sein.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zum Secure Development Lifecycle.