https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Security_Development_LifecycleSecurity Development Lifecycle - Versionsgeschichte2026-05-18T09:12:17ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Security_Development_Lifecycle&diff=1965101&oldid=previmported>SchlurcherBot: Bot: http → https2025-05-25T22:27:11Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>'''Trustworthy Computing Security Development Lifecycle''' (Abgekürzt '''SDL''', zu Deutsch '''Entwicklungszyklus für vertrauenswürdigen Computereinsatz''') ist ein [[2004]] von [[Microsoft]] veröffentlichtes Konzept zur [[Softwaretechnik|Entwicklung]] von sicherer [[Software]] und richtet sich an Softwareentwickler, die Software entwickeln, die böswilligen Angriffen standhalten muss. Stark vereinfacht handelt es sich dabei um Gebote und Verbote, Tipps und Tools.<ref>Steve Lipner und Michael Howard: ''[https://msdn.microsoft.com/de-de/library/ms995349.aspx Entwicklungszyklus für sichere Software]''. In: MSDN. 30. Mai 2005.</ref> Es kam erstmals bei der Entwicklung von [[Microsoft Windows Vista|Windows Vista]] zum Einsatz.<ref>[https://www.microsoft.com/security/sdl/benefits/measurable.aspx Beschreibung der Verbesserungen in Windows Vista durch Nutzung des Security Development Lifecycle]</ref><br />
<br />
SDL ist weiterhin in die Softwareentwicklung bei Microsoft eingebunden; 2011 zog die Trustworthy Computing Group des Unternehmens eine Zwischenbilanz über die bisher erreichten Ergebnisse mit dieser Methode.<ref>{{Internetquelle |url=https://www.microsoft.com/en-us/download/details.aspx?id=14107 |titel=The SDL Progress Report |sprache=en-us |abruf=2022-02-01}}</ref><ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/developer/meldung/Microsoft-zieht-Zwischenbilanz-fuer-Security-Development-Lifecycle-1219377.html |titel=Microsoft zieht Zwischenbilanz für Security Development Lifecycle |sprache=de |abruf=2022-02-01}}</ref><br />
<br />
== Grundsätze ==<br />
Microsoft geht bei SDL von folgenden Grundsätzen aus:<br />
<br />
; Secure by design<br />
: Schon in der Planungsphase sollte auf die Sicherheitsbelange der Software eingegangen werden.<br />
; Secure by default<br />
: Trotz sorgfältigster Planung sollte ein Entwickler von dem Vorhandensein von [[Sicherheitslücke (Software)|Sicherheitslücken]] ausgehen. Aus diesem Grund sollten die Standardeinstellungen (z.&nbsp;B. erforderliche Privilegien) möglichst niedrig gewählt werden und selten benutzte Features standardmäßig deaktiviert werden.<br />
; Secure in deployment<br />
: Die mitgelieferten Dokumentationen und Tools sollen die [[Systemadministrator|Administratoren]] dabei unterstützen, die Software möglichst optimal einzurichten.<br />
; Communications (Software)<br />
: Die Entwickler sollten offen mit möglichen Sicherheitslücken umgehen und den Endanwendern schnell [[Patch (Software)|Patches]] oder [[Workaround]]s zur Verfügung stellen.<br />
; Privacy by design<br />
: Schon in der Planungsphase sollten Datenschutzbelange der Software berücksichtigt werden.<br />
; Privacy by default<br />
: Die Standardeinstellungen der Software sollten konservativ gewählt werden.<br />
; Privacy in deployment<br />
: Datenschutzmechanismen sollten offengelegt werden, um es Administratoren zu ermöglichen, die internen Datenschutzrichtlinien des Unternehmens umzusetzen.<br />
; Communications (Privacy)<br />
: Datenschutzerklärungen sollten transparent formuliert werden. Ein Team für Datenschutzvorfälle sollte eingerichtet werden.<br />
<br />
== Der SDL-Prozess ==<br />
Die untenstehende Liste entstammt der Dokumentation von Microsoft:<ref>{{Internetquelle |url=https://www.microsoft.com/en-us/sdl |titel=Microsoft Security Development Lifecycle |zugriff=2018-10-22 |sprache=en-us}}</ref><br />
# Anforderungsphase: Identifikation der Sicherheitsanforderungen und Schutzziele der zu erstellenden Software und deren Schnittstellen<br />
# Entwurfsphase: Identifikation der Komponenten, die grundlegend für die Sicherheit sind; Risikomodellierung<br />
# Implementierung: Verwendung von Tools und Test-Methoden sowie Code Reviews<br />
# Überprüfungsphase: Beta Test mit Nutzern, systematische Suche nach Sicherheitsmängeln<br />
# Veröffentlichung: Ist die Software auch wirklich reif für die Auslieferung<br />
# Schaffung der Möglichkeit auf entdeckte Fehler und Schwachstellen schnell zu reagieren<br />
<br />
{{Lückenhaft|Wie weit wurde das Konzept tatsächlich angewendet, mehr Geschichte, weitere Quellen --[[Benutzer:Crazy1880|Crazy1880]] 19:25, 24. Mai 2010 (CEST)}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [https://www.microsoft.com/en-us/download/details.aspx?id=29884 Microsoft Security Development Lifecycle]<br />
* [https://msdn.microsoft.com/magazine/msdn-magazine-issues A Look Inside the Security Development Lifecycle at Microsoft]: Michael Howard in MSDN Magazine, 11/2005<br />
* [https://www.heise.de/developer/artikel/Sichere-Softwareentwicklung-nach-dem-Security-by-Design-Prinzip-403663.html Der Microsoft-SDL]: Niklaus Schild in heise Developer, 19. August 2009<br />
* [https://www.heise.de/security/meldung/SDL-fuer-Dummys-920186.html SDL für Dummys]: Uli Ries in heise Security, 2. Februar 2010<br />
* [https://www.heise.de/security/meldung/Microsoft-stellt-SDL-fuer-Agile-Softwareentwicklung-vor-855147.html Microsoft stellt SDL für Agile-Softwareentwicklung vor]: Daniel Bachfeld in heise Security, 10. November 2009<br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Microsoft]]</div>imported>SchlurcherBot