Datum 27.08.2024

Zum 27. August hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Technischen Richtlinie BSI TR-03185 Sicherer Software-Lebenszyklus eine Sammlung von Best Practices aus bestehenden Standards und Frameworks für Software-Entwicklungsprozesse veröffentlicht.

Grundlage für die TR-03185 ist der BSI IT-Grundschutz, ergänzt durch die DIN EN IEC 62443-4-1, GSMA-NESAS und NIST SP 800-218. Die verwendeten Standards und Frameworks betrachten insbesondere "security by design" als wichtiges Entwicklungsprinzip. Obwohl diese Standards seit Jahren bekannt sind, verzeichnet das BSI in seinen letzten Jahresberichten eine zunehmende Anzahl von Schwachstellen in Software. Mit der Veröffentlichung der TR-03185 appelliert das BSI an alle Software-Entwicklungsteams, die Informationssicherheit in allen Phasen des Software-Lebenszyklus zu berücksichtigen.

Die TR lässt sich in ihrem aktuellen Stand nicht anwenden auf Prozesse zur Entwicklung von Software, die üblicherweise als „Open Source Software (OSS)“ oder „Free / Libre and Open Source Software (FLOSS / FOSS)“ bezeichnet werden. Für diesen Zweck müssen die Anforderungen an die Eigenheiten der Entwicklung von Open Source Software angepasst werden.