Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert daher die Hersteller auf, Informationssicherheit von Anfang mitzudenken. Eine sichere Vorkonfiguration soll es den Anwenderinnen und Anwendern so einfach wie möglich zu machen, Produkte sicher zu nutzen.

Vor diesem Hintergrund wurde diese Technische Richtlinie (TR) ausgehend von den Anforderungen des BSI IT-Grundschutzes an sichere Software-Entwicklungs-Prozesse erstellt. Sie wird ergänzt durch Normen, Standards und Frameworks. Der Fokus lag dabei auf einer möglichen Anreicherung und Strukturierung.

Die TR lässt sich in ihrem aktuellen Stand nicht anwenden auf Prozesse zur Entwicklung von Software, die üblicherweise als „Open Source Software (OSS)“ oder „Free / Libre and Open Source Software (FLOSS / FOSS)“ bezeichnet werden. Für diesen Zweck müssen die Anforderungen an die Eigenheiten der Entwicklung von Open Source Software angepasst werden.

BSI TR-03185 Sicherer Software-Lebenszyklus

Als Hilfsmittel zur TR-03185 Sicherer Software-Lebenszyklus stellt das BSI eine Tabelle bereit. Sie enthält die Zuordnung der einzelnen Anforderungen der TR zu denen der verwendeten Normen und Standards. Die in den referenzierten Anforderungen enthaltenen Informationen können zusätzliche Anhaltspunkte mit Blick auf eine Umsetzung der Anforderung der TR liefern.

Die Nutzung dieser Tabelle ersetzt nicht die Lektüre der TR-03185, die weiterhin in allen Belangen maßgebend ist. Das BSI behält sich vor, für zukünftige Versionen der TR-03185 kein Hilfsmittel zu erstellen. Es ist deshalb zwingend auf die Versionsnummer der aktuellen TR-03185 zu achten.

BSI TR-03185 Sicherer Software-Lebenszyklus - Arbeitshilfe

Weitere Informationen: Die GSM Association stellt im Kontext NESAS (Network Equipment Security Assurance Scheme) Audit-Guidelines (FS.46 Network Equipment Security Assurance Scheme - Audit Guidelines) bereit.

Fragen, Anregungen und sonstige Anmerkungen können gerne an den unten genannten Kontakt gerichtet werden.

Kontakt

Bundesamt für Sicherheit in der Informationstechnik
Referat S 25
Postfach 20 03 63
53133 Bonn
E-Mail: referat-s25@bsi.bund.de