BSI TR-03185 tillhandahåller en omfattande guide för en säker mjukvarulivscykel och beskriver krav och mål för att förbättra mjukvarusäkerheten genom utveckling och underhåll.
EU:s Cyber Resilience Act (CRA) syftar till att förbättra cybersäkerheten för IT-produkter under hela deras livscykel och förplikta tillverkare att följa lämpliga säkerhetsstandarder. Mot denna bakgrund utvecklades den tekniska riktlinjen TR-03185 (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03185/TR-03185_node.html) för att konsolidera kraven från BSI IT-grundskydd och andra standarder till en omfattande guide för en säker mjukvarulivscykel.
Målgrupp och mål
Riktlinjen riktar sig både till mjukvarutillverkare ("software producer") och till tillverkare som användare av mjukvara. I riktlinjens mening är tillverkare fysiska eller juridiska personer som utvecklar, tillhandahåller och stödjer mjukvara. Användare däremot använder mjukvara för att stödja mjukvarulivscykeln. Båda grupperna måste beakta säkerhetskraven som är relevanta för deras respektive roller.
TR-03185 eftersträvar följande mål:
- Lista och gruppera krav från befintliga standarder,
- Introducera ämnet säker mjukvarulivscykel,
- Presentera relevanta krav i samband med informationssäkerhet,
- Bedöma och förbättra mjukvarulivscykeln med avseende på informationssäkerhet.
Processer och krav
Riktlinjen behandlar processer och verktyg i samband med mjukvaruskapande. Den skiljer mellan krav för tillverkaren i rollen som producent och för tillverkaren i rollen som mjukvaruanvändare.
Mjukvaruanvändare
Krav för tillverkaren i rollen som användare av färdig mjukvara inkluderar verktyg för att stödja mjukvarulivscykeln som används inom mjukvaruproducentens processer. Kraven är indelade i:
- Projektledning: Definition och dokumentation av krav för mjukvaruverktyg, val av lämpliga verktyg och deras säkra anskaffning och drift.
- Dokumentation: Skapande och underhåll av dokumentation för de använda verktygen och deras tillämpning.
- Test och release: Planering och genomförande av tester för att verifiera mjukvarufunktionalitet och säkerhet.
- Installation: Säker installation och konfiguration av mjukvara.
- Patch och ändringshantering: Regelbunden uppdatering av mjukvara och hantering av ändringar.
- Avveckling: Säker radering av mjukvaran och dess data.
Mjukvaruproducent
Krav för tillverkaren i rollen som mjukvaruproducent är indelade i följande områden:
- Projektledning: Definition och dokumentation av säkerhetskrav, fastställande av en lämplig utvecklingsmodell och implementering av en kontinuerlig förbättringsprocess.
- Dokumentation: Skapande av projektdokumentation och användardokumentation.
- Utveckling: Säker design och implementering av mjukvaran, inklusive hotmodellering och utvecklingsåtföljande tester.
- Testning: Planering och genomförande av omfattande tester för att säkerställa mjukvarukvalitet.
- Leverans: Säkerställande av integritet och autenticitet för levererad mjukvara.
- Buggfixning och sårbarhetshantering: Procedurer för hantering av säkerhetsproblem och sårbarheter.
- Avveckling: Säker avinstallation och radering av mjukvaran och dess data.
Slutsats
Det är uppmuntrande att BSI vidtar åtgärder för att främja säker mjukvaruutveckling. Med TR-03185 tillhandahåller BSI en omfattande guide som stödjer systematisk beaktning av säkerhetskrav genom hela mjukvarulivscykeln och därigenom ökar motståndskraften mot cyberattacker. Den nya riktlinjen har potential att se bred tillämpning och avsevärt förbättra säkerheten för mjukvaruprodukter inom många områden.