Close

Sicherheit in der Softwareentwicklung bei Atlassian


Wie fügt sich das Thema Sicherheit in den Softwareentwicklungszyklus von Atlassian ein?

Agile Prozesse weisen normalerweise keine ausgeprägten SDLC-Phasen auf, was die Überlagerung von älteren, herkömmlichen Ansätzen für das Durchschleusen von Releases durch Sicherheitskontrollen verhindert.

Gleichzeitig können wir insbesondere bei unseren Cloud-Services mit agilen Workflows vorhandene Schwachstellen schnell korrigieren. Wir haben eine strenge interne Richtlinie für den Zeitrahmen, in dem gefundene Sicherheitsprobleme behoben werden müssen.

Welche Sicherheitsprüfungen werden vor der Veröffentlichung von neuem Code durchgeführt?

Wir führen keine abgegrenzten Prüfungen durch, sondern bewerten die Sicherheit aller unserer Produkte kontinuierlich.

Entwickler führen regelmäßig vor dem Commit Codeüberprüfungen durch, in einigen Fällen auch danach, obwohl diese Prüfungen nicht speziell auf die Sicherheit abzielen. Das Atlassian-Sicherheitsteam führt regelmäßig gezielte manuelle und durch Tools unterstützte Codeüberprüfungen durch. Gelegentlich ziehen wir für umfangreiche Codeprüfungen für alle unsere Produkte auch Auditoren von außen hinzu.

Für andauernde Tests von Atlassian Cloud-Produkten arbeiten wir mit einem unabhängigen Drittanbieter zusammen. Die Ergebnisse werden später für unseren Entwicklungsprozess berücksichtigt.

Welche Methoden werden zum Schutz gegen typische Angriffe gegen Anwendungen (XSS, SQL Injection, CSRF usw.) genutzt?

Das hängt vom Produkt ab. Einige Features sind produktübergreifend, andere nicht. Der Artikel, Sichern des Plug-in, der Teil des Unterrichtsplans für Entwickler ist, enthält Beschreibungen zu einigen produktübergreifenden Kontrollen.