search icon

Sichere Softwareentwicklung

Bei unserem Softwareentwicklungsprozess hat Sicherheit in jeder Phase höchste Priorität – vom ersten Entwurf bis hin zur tagtäglichen Nutzung der Software. Sicherheit steht bei der Gestaltung, Entwicklung und Anwendung unserer Produkte stets im Mittelpunkt.

Grundlagen einer sicheren Entwicklung

Unser Entwicklungsansatz ist darauf ausgelegt, Sicherheit in jeder Phase den Vorrang einzuräumen.

Secure by Design

Die Sicherheit unserer Kunden steht bei all unseren Produkten im Mittelpunkt. Sicherheit wird bei uns nicht erst später ergänzt, sondern von Anfang an integriert.

Einwandfreier und sicherer Code

Die sicheren Coding-Verfahren von Sage basieren auf den Standards und Empfehlungen des Open Web Application Security Project (OWASP). Wir verpflichten uns, einen einwandfreien und sicheren Code zu schreiben.

Kontinuierliche Tests

Wir bei Sage testen unsere Produkte immer wieder aufs Neue. So stellen wir sicher, dass unsere Software die höchstmöglichen Sicherheits- und Leistungsstandards erfüllt.

Weiterbildungen für Sicherheitsteams

Wir fördern unsere Programmierer mit kontinuierlichen Sicherheitstrainings. Unsere im BSIMM-Modell verwurzelten Sicherheitschampions machen derweil aktiv Schwachstellen ausfindig und beheben sie.

Lebenszyklus der sicheren Softwareentwicklung

Unsere Produktentwicklungsteams orientieren sich an dem Sage Standard für den Lebenszyklus zur sicheren Softwareentwicklung (Secure Software Development Lifecycle, SDLC), einschließlich sicherer Coding-Standards und Leitlinien.

Vor der Veröffentlichung

Sicherheitskontrollen

Der Standard für Produktsicherheitskontrollen bei Sage legt fest, welche Sicherheitskontrollen unsere Produkte erfüllen sollen. Unser Standard basiert auf den führenden Rahmen der Branche, wie OWASP ASVS und NIST, und ist als umfassendes Rahmenwerk konzipiert, welches dabei hilft, Cybersicherheitsrisiken zu verringern und mögliche Schäden für unsere Produkte und Kunden zu verhindern. Er sieht Sicherheitskontrollen über den gesamten Entwicklungszyklus und während der Anwendung unserer Produkte vor.

Vor der Veröffentlichung

Sicherheitschampions bei Sage

Unser globales Sicherheitsteam unterstützt die Sage Produktentwicklungsteams mit Expertentipps und stützt sich dabei unter anderem auf unser branchenführendes Sicherheitschampions-Programm. Sicherheitschampions sind eine etablierte Best Practice in der Softwarebranche, bei der bestimmte Softwareentwickler und Programmierer als Erweiterung des Sicherheitsteams arbeiten. Dazu beteiligen sie sich an der Bedrohungsmodellierung, koordinieren und beheben Schwachstellen und helfen, auf Vorfälle zu reagieren. Alle Sage Sicherheitschampions durchlaufen ein spezialisiertes Sicherheitstraining, nehmen an Wettbewerben und Veranstaltungen teil und leisten einen wertvollen Beitrag zu unseren Sicherheitsbestrebungen.

Vor der Veröffentlichung

Bedrohungsmodelle

Bedrohungsmodelle werden im Rahmen unseres „Secure by Design“-Grundsatzes eingesetzt, um herauszufinden, wie unsere Produkte und Systeme missbräuchlich verwendet oder angegriffen werden könnten. So können wir Sicherheit von Anfang an in unsere Produkte integrieren. Für die Modellierung unserer Systeme verwenden wir verschiedene Verfahren, darunter STRIDE, und schulen und beteiligen verschiedene Akteure wie Anwendungs- und Cloud-Sicherheitsexperten, Entwickler und Softwarearchitekten an der Bedrohungsmodellierung.

Vor der Veröffentlichung

Sicherheitstraining

Wir müssen unsere Teams mit den nötigen Kompetenzen ausstatten und eine Kultur der gemeinsamen Verantwortung für Sicherheit schaffen, um Bedrohungen stets einen Schritt voraus zu sein und die Entwicklung sicherer Produkte zu gewährleisten. Wir investieren fortwährend in die Schulung unserer Entwickler, Programmierer und Sicherheitsteams und arbeiten mit Branchenführern wie Pluralsight, LinkedIn Learning und Immersive Labs zusammen, um umfassende theoretische und praktische Trainings in Laboren zu ermöglichen.

Vor der Veröffentlichung

Sichere Coding-Standards

Wir unterstützen unsere Entwickler dabei, hochwertige und sichere Codes zu schreiben. Dazu entwickeln wir sichere Coding-Standards, die unsere Erwartungen zusammenfassen und sicherstellen, dass weitverbreitete Sicherheitslücken vermieden werden. Wir erfüllen unter anderem die Vorgaben des OWASP und der Cloud Security Alliance und passen sie an die Gegebenheiten und Produkte von Sage an.

Vor der Veröffentlichung

Sicherheitsscans und Code-Überprüfung

Wir wenden über den gesamten SDLC Code-Scans und Sicherheitstest-Tools an, um Schwachstellen und Code-Fehler so früh wie möglich zu ermitteln und zu beheben, bevor es an die Produktion geht. Unsere Zusammenarbeit mit Microsoft ist für unseren Sicherheitsstatus von entscheidender Bedeutung. Viele unserer Produkte nutzen GitHub Advanced Security. Statische und dynamische Anwendungssicherheit-Tests, geheime Scans und Abhängigkeitsüberprüfungen sind nur einige der Tools, die in unsere Softwareentwicklung und Bereitstellungs-Pipelines eingebunden werden, um sicherzustellen, dass wir den nötigen Überblick haben und Sicherheitsrisiken umgehend beseitigen können.

Vor der Veröffentlichung

Penetrationstests

Sage hat große Summen in den Aufbau unseres eigenen internen offensiven Sicherheitsteams investiert. Dieses Team ist zuständig für die Durchführung von simulierten Angriffen (sowohl Penetrationstests als auch Red-Team-Übungen) auf unsere Produkte und deckt so Schwachstellen auf, die Kriminelle ausnutzen könnten, damit wir sie zeitnah und kontrolliert beheben können. Außerdem arbeiten wir mit externen Penetrationstestanbietern zusammen für einen unabhängigen Blickwinkel und eine gesunde Herausforderung.

Vor der Veröffentlichung

Freigabe

Bei neuen Produkten und Änderungen an bereits verfügbaren Produkten, die sich auf die Sicherheit auswirken könnten, nehmen wir strukturierte Versionsüberprüfungen vor, um sicherzustellen, dass unsere Sicherheitserwartungen erfüllt werden. Vertrauen und Sicherheit stehen bei uns stets an erster Stelle. Wir veröffentlichen keine Software, die unsere hohen Sicherheitsansprüche nicht erfüllt.

Release

Nach der Veröffentlichung

Sicherheitsüberwachung und Vorfallsreaktion

Unser Hauptaugenmerk liegt immer auf der Sicherheit – auch wenn die Entwicklung eines Produkts abgeschlossen ist und es auf den Markt gebracht wurde. Wir überwachen unsere Produkte aktiv, um verdächtige Aktivitäten ausfindig zu machen, bei einem Vorfall schnell zu reagieren und eine Untersuchung einzuleiten. Unser spezielles Cyberabwehr-Team überwacht unsere Systeme rund um die Uhr und unser globales Vorfallsreaktionsteam kann schnell die Reaktionen in allen Bereichen des Unternehmens koordinieren.

Nach der Veröffentlichung

Bug-Bounty-Programm

Sage betreibt über HackerOne ein privates Bug-Bounty-Programm. Autorisierte Sicherheitsforscher und ethische Hacker testen die Produkte von Sage auf Schwachstellen und simulieren Angriffe wie in der realen Welt. Wir belohnen wertvolle Erkenntnisse und lösen Problem rasch mithilfe von transparenter Zusammenarbeit.

Nach der Veröffentlichung

Kontinuierliche Verbesserung

Die Erkenntnisse und Erfahrungen aus unseren Sicherheitstools, Vorfällen, Penetrationstests und des Red Teams werden zur Verbesserung der Produktsicherheit genutzt. Wir überprüfen diese Daten regelmäßig und nutzen sie zur Optimierung unserer Schulungen, Standards und Aufklärungsveranstaltungen zum Thema Cybersicherheit wie die Cyber Security Week oder unser jährliches Treffen der Sicherheitschampions.

Erweitern Sie Ihren Horizont

Hier erfahren Sie mehr über unser unermüdliches Engagement für Cybersicherheit. Erhalten Sie weitere Informationen auf unseren Webseiten zur Überwachung und Einhaltung von Standards.

Überwachung und Abläufe

Hier erfahren Sie mehr über unsere Überwachungs- und Betriebsstrategie, mit der wir rund um die Uhr die bestmögliche Sicherheit und Zuverlässigkeit Ihrer Daten und Systeme gewährleisten.

Standards und Compliance

Hier erfahren Sie mehr über unsere Einhaltung von Standards und Rechtsvorschriften und darüber, wie Sage mit seinen Verfahren allgemeine Best Practices übertrifft.

Feedback