Suche

Security Patterns

Die Sicherheit von Softwarelösungen wurde im Bereich des Software Engineerings lange Zeit stiefmütterlich behandelt. Häufig wurde Sicherheit bei der Konzeption von Systemen und Software als Add-on betrachtet und ist somit auch kein Bestandteil gängiger Softwareentwicklungsmodelle. Weiterhin besitzen Softwareentwickler oftmals nicht das nötige Wissen zur korrekten Umsetzung von Sicherheitsanforderungen.

 

Security Patterns versuchen, diese Lücke zwischen Sicherheitsanforderungen und deren Umsetzung zu schließen.  Die Idee der Security Patterns basiert auf dem Paradigma, wiederkehrende Muster im Entwurf von Softwarelösungen zu finden und diese allgemeingültig zu beschreiben.  Diese junge Disziplin, die in Analogie zu den Entwurfsmustern (bspw. Singleton) des Software Engineerings entstand, versucht Lösungen für wiederkehrende Probleme im Bereich der IT-Sicherheit zu beschreiben.  Die von Experten entwickelten Sicherheitsmuster erfassen den Kern der Lösung eines Sicherheitsproblems und stellen diese in einem vordefinierten Template zur Verfügung. Durch die Abstraktion von einer konkreten Problemstellung und den Einfluss von Expertenwissen werden Softwareentwicklern bei der Umsetzung von Sicherheitsanforderungen unterstützt.

 

Allerdings besteht auf Grund der Tatsache, dass die Disziplin der Security Patterns erst 1997 entstand, noch enormer Forschungsbedarf.  So führte die rasante Entwicklung zur Entstehung verschiedener, teilweise inkompatibler Templates, die als Rahmen für die Veröffentlichung von Security Patterns dienen. Weiterhin stellen die Vielzahl an verfügbaren Sicherheitsmustern und fehlende Klassifizierungsmethoden Hürden bei der Auswahl geeigneter Security Patterns dar. Daneben sind die Untersuchung von Interdependenzen bei der Anwendung mehrerer Sicherheitsmuster sowie die Entwicklung geeigneter Metriken zur Messung der Umsetzung wichtige Bausteine auf dem Weg, das Konzept der Security Patterns im Softwareentwicklungszyklus zu verankern.

 

Folgende Quellen sind für weiterführende Informationen zu empfehlen:

 

[1] M. Schumacher, E. B. Fernandez, D. Hybertson, F. Buschmann, P. Sommerlad (Eds.), “Security Patterns: Integrating Security and Systems Engineering“, Wiley 2006

 

[2] C. Steel, R. Nagappan, R. Lai, “Core Security Patterns: Best Strategies for J2EE, Web Services and Identity Management”, Prentice Hall, 2006

 

[3] E. B. Fernandez, G. Pernul, “Patterns for session-based access control”, Proceedings of the 2006 conference on Pattern languages of programs, October 21-23, 2006, Portland, Oregon [pdf]

 

[4] J. Yoder and J. Barcalow, “Architectural Patterns for Enabling Application Security”, Proc. Fourth Conf. Pattern Languages of Programming (PLoP), 1997 [pdf]

 


© conceptnet  Sitemap | Impressum