Sichere Software entsteht nicht von allein. Sie erfordert die konsequente Anwendung von Methoden im gesamten Unternehmen – Methoden, die den festgelegten Richtlinien, Zielen und Prinzipien entsprechen. Ziel ist, sicheren Code zu schreiben: Oracle verlangt, dass die gesamte Entwicklung die Prinzipien des sicheren Programmierens einhält, die vereinbart und kommuniziert wurden und nach denen die Mitarbeiter geschult werden.

Konsequente Gewährleistung hoher Sicherheit

Oracle setzt offizielle Standards für die Programmierung von sicherem Code ein, um sicherzustellen, dass Oracle Produkte mit einer einheitlich hohen Security Assurance entwickelt werden und Entwickler gängige Programmierfehler vermeiden.

Oracle Secure Coding Standards liefern Entwicklern das Konzept und Leitlinien bei der Erstellung von sicherem Code. Sie decken allgemeine Wissensgebiete zum Thema Sicherheit ab, wie Designprinzipien oder häufige Sicherheitslücken, und bieten spezifische Leitfäden zu Themen wie Datenvalidierung, Datenschutz, CGI oder Nutzerverwaltung.

Alle Oracle Entwickler müssen mit diesen Standards vertraut sein und sie beim Konstruieren und Entwickeln von Produkten einhalten. Die Programmierungsstandards wurden über mehrere Jahre hinweg entwickelt und beinhalten Best Practices sowie die Erkenntnisse aus laufenden Risikotests des internen Produktbewertungsteams von Oracle. Oracle sorgt anhand von obligatorischen Schulungen zur Programmierung von sicherem Code dafür, dass die Entwickler mit den Codierungsstandards vertraut sind. Die Secure Coding Standards sind eine zentrale Komponente der Oracle Software Security Assurance. Die Einhaltung der Standards wird während der gesamten Nutzungsdauer aller Oracle Produkte bewertet und geprüft.

Dynamik der Secure Coding Standards

Oracle Secure Coding Standards wurden im Lauf der Zeit weiterentwickelt und erweitert, um die häufigsten Probleme mit Oracle Code zu beheben, Erkenntnisse und Erfahrungen einzubeziehen, neuen Bedrohungen sofort bei ihrer Entdeckung zu begegnen und neue Nutzungsfälle durch Kunden von Oracle zu berücksichtigen. Die Secure Coding Standards stehen nicht im luftleeren Raum und sind auch kein einfacher Nachtrag zur Softwareentwicklung. Sie sind ein wesentlicher Beitrag zu den Programmiersprachenstandards wie C/C++, Java, PL/SQL und anderen und ein wichtiger Eckpfeiler von Programmen und Prozessen der Oracle Software Security Assurance.

Bedeutung der Entwicklerschulung

Im Laufe der Jahre hat Oracle intern Schulungen basierend auf den Secure Coding Standards entwickelt. Oracle bietet diese Schulung regelmäßig für die Produktentwicklungsabteilung an, darunter für Entwickler und Produktmanager, Veröffentlichungsmanager und Mitarbeiter der Qualitätssicherung. Die Schulung ist nicht auf einzelne Mitarbeiter beschränkt. Führungskräfte bis hin zu Vice Presidents müssen die Secure Coding-Schulungen absolvieren. Mit dieser laufenden Schulung wird sichergestellt, dass die Entwickler mit allen Aspekten einer sicheren Codierung vertraut sind und die hohen Standards von Oracle zur Erstellung von Qualitätsprodukten berücksichtigen.