Tag Archives: Softwareentwicklung

Vortrag: „Security by Design?“

Triggerwarnung: work in progress

Vergangene Woche durfte ich auf dem 1. IT-Grundschutztag 2017 zum Thema Security by Design? vortragen. Das Leitthema der Veranstaltung war Application Security und ich habe passend zu unserer Forschung einen Blick auf die Softwareentwicklung geworfen. Sichere Software ist leicht gefordert, aber die Umsetzung im Entwicklungsalltag bereitet Schwierigkeiten: In frühen Phasen der Entwicklung kämpft man mit Ungewissheit und es ist schwer, Entscheidungen zu treffen; später weiß man mehr, aber die Veränderung wird schwierig – nicht nur technisch, sondern auch in den Strukturen und Routinen des Entwicklerteams.

Der Vortrag entstand aus einer früheren Fassung, die ich gemeinsam mit Andreas Poller auf dem Workshop „Partizipatives Privacy by Design“ im vergangenen Oktober in Kassel gehalten habe. Aus Andreas’ Vortrag auf der CSCW’17 habe ich mir auch Slides geborgt.

Wer die Tonspur zu den Slides hören möchte: einfach fragen.

Advertisements

2. CAST-Seminar »Sichere Software entwickeln« am 15. Mai 2014

Unser CAST-Seminar »Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge« geht in die zweite Runde. Am 15. Mai 2014 laden wir zum Erfahrungsaustausch ins Darmstadtium ein. Vorträge von Praktikern und aus der angewandten Forschung beleuchten das Thema von allen Seiten. Unsere Themen in diesem Jahr:

  • Organisation der sicheren Softwareentwicklung in Großunternehmen
  • Security in schlanken und agilen Processen
  • Denial-of-Service-Schwachstellen in Anwendungen
  • Sicherheitsaspekte der Schnittstellenentwicklung
  • Bedrohungsmodellierung und Sicherheitsanforderungen in der Praxis
  • Skalierung von Methoden am Beispiel der Risikoanalyse

Anmeldung und Programm unter http://www.cast-forum.de/workshops/infos/190.

Kreative Wissenschaft

Die Wissenschaften ergründen und beschreiben die Realität. Anders die Informatik: Sie schafft Realität. Computer und Programme sind Menschenwerk. Auch Menschenwerk kann man wissenschaftlich untersuchen – Historiker, Religionswissenschaftler und so weiter tun nicht anderes. Der objektive Blick auf eine selbst bearbeitete Realität fällt allerdings schwer, nicht nur Einzelnen, auch ganzen Gruppen. Wo hört die berechtigte gemeinsame Weltsicht auf, fängt die kollektive Täuschung an?

In der Theorie sind Theorie und Praxis gleich. In der Praxis sind sie es nicht. Einen Beleg liefert das Paper UML in Practice (DOI: 10.1109/ICSE.2013.6606618) von Marian Petre. Sie befragte 50 Softwareentwickler nach ihrer Nutzung der Unified Modeling Language (UML). Aus der wissenschaftlichen Literatur ist UML nicht wegzudenken. Sowohl die grafischen Notationen als auch die zugrundeliegenden formalen Modelle und Metamodelle werden für alles mögliche verwendet und sind auch selbst Untersuchungsgegenstand.

Von den 50 befragten Praktikern jedoch gaben 35 an, UML überhaupt nicht zu nutzen. Weitere 11 setzen (Teile von) UML zwar ein, jedoch informell als Kreativitäts-, Diskussions- und Kommunikationswerkzeug. Für die formalen Modelle unter der Haube interessiert sich diese Gruppe herzlich wenig und sie hält sich auch nicht daran. Statt im Metamodell Profile und Erweiterungen zu definieren, passen Praktiker die Modellierungssprache ad hoc ihren Bedürfnissen an.

Theoretikern gefällt UML, weil man darüber so viel schreiben und die praktische Bedeutung einfach unterstellen kann. Praktiker brauchen Tools, die ihnen objektiv bei der Arbeit helfen und lassen alles andere liegen.