Kapitel 21. Sichere Anwendungsarchitektur

Der erste Schritt zur Sicherung einer Webanwendung ist die Architekturphase. Bei der Entwicklung eines Produkts arbeitet normalerweise ein funktionsübergreifendes Team aus Softwareentwicklern und Produktmanagern zusammen, um ein technisches Modell zu finden, das ein ganz bestimmtes Geschäftsziel auf effiziente Weise erfüllt. In der Softwareentwicklung besteht die Aufgabe eines Architekten darin, die Module auf hohem Niveau zu entwerfen und die besten Möglichkeiten für die Kommunikation zwischen den Modulen zu ermitteln. Dies lässt sich auf die Frage ausweiten, wie Daten am besten gespeichert werden, welche Abhängigkeiten von Dritten bestehen, welches Programmierparadigma in der Codebasis vorherrschen sollte usw.

Ähnlich wie ein Gebäudearchitekt ist auch die Softwarearchitektur ein heikler Prozess, der ein großes Risiko birgt, denn eine Neuarchitektur und ein Refactoring sind teure Prozesse, wenn eine Anwendung bereits erstellt wurde. Die Sicherheitsarchitektur weist ein ähnliches Risikoprofil auf wie die Software- oder Gebäudearchitektur. Oft lassen sich Schwachstellen in der Architekturphase durch sorgfältige Planung und Bewertung leicht verhindern. Wird jedoch zu wenig geplant, muss der Anwendungscode neu archiviert und überarbeitet werden - oft zu hohen Kosten für das Unternehmen.

Das NIST hat auf der ...