Beschreiben SIe kurz die sechs notwendigen Schritte des Auswahlverfahrens für ITMW.
Nennen sie 5 mögliche allgemeine Vorgehensweisen bei der Auswahl von Software. Ordnen SIe das zuvor in 1. Beschriebene einer dieser möglicher Vorgehensweisen zu und begründen diese Zuordnung.
Beschreiben Sie das Problem der Architekturerosion und wie Tests mit Hilfe von IT-Werkzeugen dieser entgegenwirken können?
Architekturerosion:
Definition: Schrittweiser Abbau größerer Softwaresysteme.
Ursachen: Erhöhte Kopplung, wachsende Komplexität, Verlust des Überblicks, Zeitdruck.
Folgen: Unzureichende Lösungen, Hacks, Managementprobleme, Kosten durch Schwierigkeiten bei Erweiterungen.
Gegenwirkung durch Tests mit IT-Werkzeugen:
Regressionstests:
Überprüfung bestehender Funktionalitäten nach Änderungen.
Automatisierte Codeanalysen:
Identifikation potenzieller Architekturverletzungen und Qualitätsprobleme.
Testgetriebene Entwicklung:
Sicherstellung, dass neue Funktionen den Architekturvorgaben entsprechen.
Ziele:
Architekturintegrität erhalten: Verhindern des schleichenden Abbaus.
Kosten minimieren: Durch frühzeitiges Erkennen von Problemen.
Sicherung der Qualität: Durch systematische Testansätze.
Beschreiben Sie den Aufbau der sogenannten Testpyramide anhand der Ebenen inklusive anzupeilenden Grads der Testautomatisierung?
Die Testpyramide gliedert Tests in vier Ebenen: User-Acceptance-Tests (UAT), Systemintegrationstests, Komponenten-Integrations-Tests und Unit Tests. Sie gibt an, wie viele Tests jeder Art vorhanden sein sollten und welchen Grad der Automatisierung sie anstreben sollten. Unit Tests sollten zahlreich sein, während von den komplexeren User-Acceptance-Tests weniger vorhanden sein sollten.
Die Automatisierung stellt eine Herausforderung dar, und idealerweise sollten alle Tests automatisiert werden. Die Pyramide empfiehlt jedoch, zunächst die Unit Tests vollständig zu automatisieren, bevor die anderen Ebenen angegangen werden. Das Ziel ist eine 100 % Automatisierung, unter der Bedingung, dass alle Tests die erforderlichen Funktionalitäten prüfen und nicht nur blind auf die Automatisierung setzen.
Beschreiben Sie grob den Secure Development Life-Cycle und diskutieren Sie die Aussage “Der Aufwand von Threat Modeling im Entwicklungsprozess ist zu hoch”.
Geben Sie jeweils 2 Argumente für un dagegen diese Aussage an und schließen mit einer begründeten Meinung.
Der Secure Development Life Cycle (SDLC) ist ein Framework für die Entwicklung von qualitativ hochwertiger Software mit Fokus auf Informationssicherheit und Datenschutz.
Argumente für die Aussage "Der Aufwand von Threat Modeling ist zu hoch":
Training: Schulungen zu Sicherheitsaspekten erhöhen das Sicherheitsbewusstsein der Mitarbeiter.
Requirements: Festlegung von Sicherheitsanforderungen, Bug-Bars und Quality-Gates.
Argumente gegen die Aussage:
Frühe Erkennung von Gefahren: Threat Modeling identifiziert potenzielle Bedrohungen frühzeitig.
Gegenmaßnahmen: Ermöglicht die Festlegung wirksamer Gegenmaßnahmen.
Meinung: Der Aufwand für Threat Modeling ist gerechtfertigt, insbesondere bei Systemen, die mit vertraulichen Daten arbeiten. Eine hohe Datensicherheit ist entscheidend, um finanzielle Verluste, Vertrauensverluste und Image-Schäden zu vermeiden. Der initiale Aufwand zahlt sich durch ein verbessertes Sicherheitsverständnis, sichere Systeme und langfristige Vorteile aus.
Beschreiben Sie den Einsatzzweck von standardisierten Bedrohungskatalogen wie der OWASP Top 10 und nennen Sie eine Möglichkeit für den Einsatz.
Einsatzzweck von standardisierten Bedrohungskatalogen wie der OWASP Top 10:
Die OWASP Top 10 ist eine regelmäßig aktualisierte Liste von Bedrohungen im Web. Sie dient dazu, die Sicherheit von Web-Systemen zu gewährleisten, indem Gefahren frühzeitig erkannt und die Angriffsfläche für Hacker reduziert wird.
Werkzeugunterstützung für den Einsatz:
Ein Werkzeug der OWASP Top 10 ist zum Beispiel das Penetration-Test Tool, das Angriffe simuliert und diesen entgegenwirkt. Ein weiteres ist das Code-Review Tool, das den Quellcode analysiert.
Zuletzt geändertvor einem Jahr