Sichere Software beginnt vor der ersten Zeile Code, und Softwareentwicklung ist untrennbar mit Security verbunden. Gefahren lauern im gesamten Software-Lifecycle: Hacker zielen auf Repositories und versuchen Schadcode über vermeintlich hilfreiche Libraries in fremde Projekte einzuschleusen. Nicht nur öffentlich zugängliche Webapplikationen stehen unter Beschuss, sondern nahezu jede Anwendung, auch in scheinbar sicheren Umgebungen. Das iX-Developer-Sonderheft "Sichere Software entwickeln" greift zahlreiche wichtige Themen auf, um eigene Software von Anbeginn sicher(er) zu gestalten. Unter anderem präsentiert es unterschiedliche Methoden der Codeanalyse von statischen Verfahren bis zum Fuzzing. Für die Webentwicklung ist ein Blick auf die frische OWASP Top Ten 2021 unverzichtbar. Kryptografie ist eine Grundvoraussetzung für viele Anwendungen, aber beim praktischen Einsatz lauern viele Fallen, zumal die Dokumentation der Open-Source-Werkzeuge oft dürftig ist. Da Quantencomputer in absehbarer Zeit vermutlich die Karten neu mischen und derzeit als sicher geltende Algorithmen aufs Abstellgleis schicken, gibt ein Artikel einen Ausblick auf die Post-Quanten-Kryptografie. Das Heft beleuchtet zudem Sicherheitsaspekte für einzelne Programmiersprachen: Ein Artikel zeigt, wie sich Speicherfehler in C++ aufspüren und verhindern lassen, während ein anderer die Sicherheitskonzepte von Rust unter die Lupe nimmt. Wer Java einsetzt, findet einen Überblick über die relevanten Security-Änderungen seit Java 11.

Die iX-Developer-Sonderhefte bieten einen zeitgemäßen Querschnitt zu den wichtigsten Trends der Softwareentwicklung. Die Redaktionen von heise Developer und iX gewähren mit ihrer journalistisch-neutralen und akribischen Arbeit immer wieder aufs Neue hochklassige Hefte, die Entwicklern hilfreiche Tipps für die Praxis geben.

12 Penetrationstests von Webanwendungen 16 OAuth 2.1 das Sicherheitsupdate 22 Sicherheitsneuerungen in Java 26 C++-Sicherheitsfallen und ihre Abwehr 31 Programmanalyse für C/C++ im Detail 38 Sicheres Programmieren mit Rust 44 Kontext als Schlüssel zur sicheren Cloud 48 Serverless-Security 52 Identity und Access Management mit Keycloak 59 Confidential Computing im Überblick 64 Container hinter Schloss und Riegel 68 Cloud-Compliance mit dem Open Policy Agent 74 Kryptografie als Grundlage sicherer Software 78 Umgang mit kryptografischen Verfahren 86 Implementierung quantensicherer Kryptografie 92 Schutz der Schnittstellen: OWASP API Security Top 10 96 Ein kritischer Blick auf statische Codeanalyse-Verfahren 102 Automatisierte Softwaretests mit Fuzzing 106 Privacy by Design: Vorsicht ist besser als Nachsicht 112 Sichere Softwareentwicklung nach dem "Security by Design"-Prinzip 116 Versteckte Risiken beim Kompilieren von Embedded Software 122 Grundlagen DevSecOps 126 Marktübersicht DevSecOps-Tools 132 Sichere Software entwickeln mit OWASP SAMM 138 Das Reifegradmodell Security Belts im Blick 144 Shift Left Secure by Design und agile Entwicklung 150 Vollständiges Erfassen von Softwarelieferketten