CompliantDesk

A.8 Technologische Maßnahmen

A.8.28

Sichere Programmierung

ISO 27001TISAXBSI

Prinzipien der sicheren Programmierung müssen bei der Softwareentwicklung angewendet werden.

Was fordert dieses Control?

Prinzipien der sicheren Programmierung müssen bei der Softwareentwicklung angewendet werden.

Warum ist das wichtig?

Die meisten Anwendungsschwachstellen entstehen durch unsicheren Code. Sichere Programmierung verhindert Klassiker wie Injection, XSS und unsichere Datenverarbeitung.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.2.4Direkt
BSICON.8Direkt

Was der Auditor erwartet

  1. 1Secure-Coding-Standards und deren Anwendung
  2. 2Code-Reviews und statische Codeanalyse
  3. 3Umgang mit bekannten Schwachstellenklassen (z.B. OWASP Top 10)

Audit-Checkliste

Dokumente

  • Secure-Coding-Guidelines

    Verbindliche Regeln gegen typische Schwachstellen

Nachweise

  • Review-/Scan-Ergebnisse

    Durchgeführte Code-Reviews und SAST-Befunde

Technisch

  • SAST/Dependency-Scanning

    Automatisierte Codeanalyse in der Pipeline

Praxis-Tipps zur Umsetzung

1

OWASP als Basis

Sich an OWASP Top 10 und Secure-Coding-Practices orientieren.

2

Automatisiert prüfen

SAST und Dependency-Scanning in die CI/CD-Pipeline integrieren.

3

Reviews verbindlich

Vier-Augen-Code-Reviews vor dem Merge erzwingen.

Häufige Fehler

Keine Reviews

Code geht ohne fachliche und sicherheitsbezogene Prüfung in Produktion.

Abhängigkeiten ignoriert

Verwundbare Bibliotheken werden nicht erkannt und nicht aktualisiert.

Häufig gestellte Fragen

Was sind die OWASP Top 10?

Eine Liste der häufigsten und kritischsten Sicherheitsrisiken in Webanwendungen, eine zentrale Referenz für Secure Coding.

Was ist SAST?

Static Application Security Testing, also die automatisierte Analyse des Quellcodes auf Schwachstellen.

Wie hängt das mit A.8.4 zusammen?

A.8.4 schützt den Zugang zum Code, A.8.28 sorgt dafür, dass der Code selbst sicher geschrieben wird.

So hilft CompliantDesk bei A.8.28

Dokumentieren Sie Secure-Coding-Standards als Kontrolle und verknüpfen Sie Review- und Scan-Nachweise mit Ihrem Entwicklungsprozess.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.8.25

Sicherer Entwicklungslebenszyklus

A.8.29

Sicherheitstests in Entwicklung und Abnahme

A.8.4

Zugang zum Quellcode