Mit Secure Scrum sichere Software entwickeln

Das Vorgehen in Zyklen hat sich in der Softwareentwicklung durchgesetzt. Scrum mit seinen wenigen Regeln und Positionen ist weit verbreitet. Doch wenn es um das Thema Sicherheit geht, muss Scrum passen: Dieser Belang wird nicht explizit berücksichtigt in dem Vorgehensmodell.

Christoph Pohl und Hans-Joachim Hof von der MuSe (Munich IT Security Research Group) der Hochschule für angewandte Wissenschaften München haben jetzt einen Vorschlag für eine auf Sicherheit fokussierte agile Entwicklung gemacht.

Dazu führt Secure Scrum vier zusätzliche Komponenten ein, die einzelne Schritte von Scrum beeinflussen. Diese Komponenten sind:

So soll die Identifikationskomponenten beispielsweise dafür sorgen, dass Sicherheitsprobleme entlarvt und im Product Backlog markiert werden.

Die Implementationskomponente soll das Bewusstsein der Teammitglieder in Bezug auf Sicherheitsprobleme erhöhen. Sie kommt in den Schritten Sprint-Planung und Sprint Review zum Einsatz.

Tests mit dem Zweck, die Sicherheit zu erhöhen, gehören zur Verifikationskomponente.

Bei der Definition of Done schließlich sollen ebenfalls Sicherheitsbelange berücktsichtigt werden.

Um die Wirksamkeit von Secure Scrum zu untersuchen, mussten drei Gruppen von Entwicklern eine Software programmieren. Die eine Gruppe konnte sich organisieren, wie sie wollte, durfte allerdings Scrum nicht verwenden. Die zweite Gruppe verwendete Scrum und die dritte Gruppe Secure Scrum.

Im Ergebnis zeigte sich, dass die Software der Secure-Scrum-Gruppe die wenigsten kritischen Stellen im Code enthielt. [tib]