Secure Software Engineering Lecture 5: Secure Design

Questions and Answers

Ordnen Sie die folgenden Begriffe den entsprechenden Definitionen zu:

Design = Der Prozess der Definition der Architektur, Komponenten, Schnittstellen und anderer Merkmale eines Systems oder einer Komponente Softwarearchitektur = Die grundlegende Organisation eines Systems, verkörpert in seinen Komponenten, deren Beziehungen zueinander und zur Umgebung sowie den Prinzipien, die sein Design und seine Evolution regeln Sicherheitsarchitektur = Eine Beschreibung von Sicherheitsprinzipien und einem allgemeinen Ansatz zur Einhaltung der Prinzipien, die das Systemdesign beeinflussen Sichere Designprinzipien = Grundprinzipien zur Gestaltung sicherer Software, veröffentlicht von Saltzer und Schroeder in „The Protection of Information in Computer Systems“ (1975)

Ordnen Sie die folgenden Aussagen den entsprechenden Definitionen zu:

Ökonomisierungsmechanismus = K. Sicherheitsanforderung = Das System soll die „Beispielrichtlinie“ für alle Benutzer und deren zugehörige Gruppenmitgliedschaften mit den Objekttypen „Anfragen“ und allen Operationen zwischen ihnen durchsetzen. Softwarearchitektur Revisited = Eine Software-Systemarchitektur umfasst Sicherheitsarchitektur = Elemente einer Systemarchitektur, die die Sicherheitseigenschaften wie spezifiziert durchsetzen und Mechanismen für das Management von Sicherheitseigenschaften bereitstellen.

Ordnen Sie die folgenden Aspekte den entsprechenden Teilen einer Softwarearchitektur zu:

Sammlung von Software- und Systemkomponenten, Verbindungen und Einschränkungen = Software-Systemarchitektur Sammlung der Bedarfsaussagen der Systembeteiligten = Software-Systemarchitektur Rationale, die zeigt, dass die Komponenten, Verbindungen und Einschränkungen ein System definieren, das bei Implementierung die Bedarfsaussagen der Systembeteiligten erfüllen würde = Software-Systemarchitektur Richtlinien zur Platzierung und Implementierung spezifischer Sicherheitsdienste in verschiedenen verteilten Rechenumgebungen = Sicherheitsarchitektur

Ordnen Sie die folgenden Punkte den entsprechenden Teilen eines Vortrags zum sicheren Design zu:

Einführung = Motivationssicherheitsanforderung Terminologie = Sichere Designprinzipien Sicherheitsmuster = Schlussfolgerung Conclusion = Einleitung

Ordnen Sie die folgenden Elemente den entsprechenden Teilen des Vortrags zum sicheren Designprinzipien zu:

Wirtschaftlichkeitsmechanismus = Kompromissaufzeichnung Arbeitsfaktor, Kompromissaufzeichnung = Ökonomisierungsmechanismus Ökonomisierungsmechanismus = K. Zusätzliches, z. B. = Arbeitsfaktor, Kompromissaufzeichnung

Ordnen Sie die folgenden Phasen des Sicherheitsanforderungs-Engineering-Prozesses der entsprechenden Beschreibung zu:

Identifizierung von Sicherheitszielen der Sicherheitsinteressengruppen = Phase 1 Unterstützung von Ingenieuren bei der Identifizierung von Sicherheitszielen der Sicherheitsinteressengruppen = Phase 2 Einschließt Methoden und Techniken zur Bedrohungsidentifikation und -priorisierung = Phase 3 Iterativ von Natur aus = Phase 4

Verknüpfen Sie die folgenden Themen mit ihrer entsprechenden Beschreibung:

Threat-Analyse, Risikobewertung und Sicherheitsanforderungen = Verständnis des Sicherheitsproblems Sicherheitsprinzipien und Sicherheitsmuster = Design für Sicherheit Software-Schwächen und Side-Channel-Angriffe = Implementierung von (in-)sicherer Software Lebenszyklus und Fähigkeitsreifemodelle = Management der sicheren Softwareentwicklung

Ordnen Sie die folgenden Konzepte der richtigen Beschreibung zu:

Sicherheitsanforderungen = Fokussiert auf „was zu tun ist“, nicht „wie es zu tun ist“ Sicherheitsziele und Bedrohungen = Adressiert Vermögenswerte, Sicherheitsziele und Bedrohungen Sicherheitstests = Code-Analyse, Testen von Sicherheitsfunktionen und Penetrationstests Implementierung von (in-)sicherer Software = Software-Schwächen und Side-Channel-Angriffe

Verbinden Sie die folgenden Begriffe mit ihrer geeigneten Beschreibung:

Allgemeine Kriterien = Könnten mit Sicherheitsanforderungen abgestimmt werden Design für Sicherheit = Sicherheitsprinzipien und Sicherheitsmuster Client-seitiges Scripting für Webanwendungen = JavaScript Styling von Webseiten = CSS

Ordnen Sie die folgenden Phasen des gesamten Kurses der entsprechenden Beschreibung zu:

Bedrohungsanalyse, Risikobewertung und Sicherheitsanforderungen = Verständnis des Sicherheitsproblems Lebenszyklus und Fähigkeitsreifemodelle = Management der sicheren Softwareentwicklung Implementierung von (in-)sicherer Software = Software-Schwächen und Side-Channel-Angriffe Code-Analyse, Testen von Sicherheitsfunktionen und Penetrationstests = Sicherheitstests