[BSI-Webbaustein-Review] Und los gehts!, war: Weiteres Vorgehen

Ralf Reinhardt ralf.reinhardt at owasp.org
Mo Apr 16 17:59:13 UTC 2012


Hallo Matthias, hallo Liste,

vielen Dank für den Weckruf! Jetzt, nachdem die Meisten wieder aus dem
hoffentlich erholsamen Oster-Urlaub zurück sind, kann's nun endlich los
gehen :-)

Wenn wir den Anspruch eines vollständigen Reviews erheben wollen, dann
ist der von Matthias vorgeschlagene Weg sicher der am zielgerichtetsten.
Die erste Frage, die wir uns hier stellen müssen: Wollen und können wir
dies in der Kürze der Zeit? Zum (zeitlichen) Können:

(1) Wir haben etwa 20 Personen auf dieser Liste, wobei schon einige beim
Einschreiben angegeben haben, "Nur-Leser" sein zu wollen. Ich bitte
hiermit alle, die in der zeitlichen Lage und Willens sind, in den
nächsten sechs Wochen systematisch "auf Zuteilung" Arbeit erledigen zu
wollen, kurz einen Überblick zu geben, wie viele Stunden "echte" Arbeit
sie pro Woche zur Verfügung stellen können / wollen. Diese Angaben
müssen belastbar sein. Wenn's nicht geht, dann geht's halt nicht.

Wenn wir tatsächlich genug Personentage zusammen tragen können, dann
sollten wir wie von Matthias vorgeschlagen vorgehen. Zum Aufwand:

Aus meiner Sicht haben wir 78 "Teile", die wir "vergeben" können:

1 x Hauptdokument, Beschreibung mit Abgrenzung
38 x Hauptdokument, Gefährdung
36 x Hauptdokument, Maßnahme

1 x Hilfsmittel
1 x Goldene Regeln
1 x Matrix  

In Summe sind wir bei ca. 98 Seiten, wobei die "Teile" je nach Umfang
zwischen 1 und 6 Seiten stark sind.

Man kann nun Diskutieren, ob die Gefährdungen zusammen mit den Maßnahmen
gereviewt werden sollten (unter Zuhilfenahme der Matrix) oder ob das an
sich egal sein sollte, aber diese Diskussion sollten wir erst führen,
wenn wir wissen, dass wir den "auf Zuteilung" Ansatz fahren können.  

(2) Unabhängig von obigen Diskurs sollten wir den "lockeren"
Feedbackprozess im Wiki
<https://www.owasp.org/index.php/Talk:OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen> und auch gerne hier in der Mailingliste (wer z.B. keinen Wiki-Account hat) offen lassen.

Es geht imho gar nicht so sehr darum, in die Tiefe jeder Gefährdung oder
Maßnahme zu bohren und jedes Wort auf die Goldwaage zu legen, sondern
die "low hanging fruits", also offensichtlichen Unsinn oder
fehlerträchtige oder missverständliche Formulierungen heraus zu filtern.
In die Breite (ggf. "quer") zu gehen ist imho weitaus wichtiger als
einen kompletten, tiefen Rewrite durchzuführen (dafür wurden schon
andere gezahlt, wir gucken jetzt nur noch, ob's das (Steuergeld)
halbwegs wert war ;-).

(3) Eine Gefahr für die Glaubwürdigkeit des German Chapters oder die
OWASP-Arbeit per se sehe ich persönlich hierbei nicht: Das BSI wird im
Sommer veröffentlichen, egal ob wir oder irgend jemand sonst auf der
Welt Feedback zurück spiegeln oder nicht. Wer könnte dies in diesem Fall
aber besser als wir alle zusammen? Deswegen ran, so oder so! Wenn der
veröffentlichte Baustein am Ende schlecht sein sollte, dann hat primär
das BSI ein Problem, nicht wir. Wir haben auch keine Garantie, dass
unser Feedback tatsächlich berücksichtigt wird.

(4) Am Ende werden wir alle zusammengetragenen Infos in ein hübsches
Dokument gießen, und das auf die Projektseite packen und dem BSI zur
Verfügung stellen. Haben wir alle Punkte abgedeckt, dann ist das prima -
haben wir nur einen Teil, dann ist das immerhin besser als nichts. Das
BSI hat zwischenzeitlich auch einen Link auf OWASP gesetzt (vgl.
<https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzKataloge/Download/download_node.html> ) ich bin schon sehr gespannt, ob dies zu weiteren Review-Freiwilligen führt :-)

(5) Kais Kriterien stehen im Wiki zur Diskussion. Wem die nicht gefallen
oder wer meint, dass da was fehlt / verbesserungswürdig ist, der kann
das gerne kommentieren. Viele der genannten Kriterien haben
"Meta-Charakter", wie z.B. "Der Baustein soll alle wichtigen Themen der
Entwicklung sicherer Webanwendungen enthalten". Das wiederum kann nur
jemand entscheiden, der das gesamte Dokument kennt, hier ist die
"Teilen"-Methode nicht wirklich anwendbar. Für einen "Quer-Review, um
offensichtlichen Unsinn zu sanitizen" sollte man die Regeln im
Hinterkopf behalten, im Zweifel aber immer nach "seinem Gusto" vorgehen
(und das ggf. Begründen).     

(6) Ich denke, dass es wichtig ist, dass unser Review-Dokument
konkretisiert, ergänzt oder korrigiert und keine zusätzlichen Fragen
aufwirft, die im Raum stehen bleiben und nicht beantwortet werden.

Der Baustein soll am Ende - so habe ich es zumindest verstanden - ein
pragmatischer Leitfaden sein, gedacht für Personen, die sich ggf. zum
ersten Mal mit dem Thema Web Application Security beschäftigt. Es geht
also imho nicht um einen hoch-akademischen Anspruch. Der generelle
Inhalt, die Verständlichkeit und Anwendbarkeit (und ggf.
Vollständigkeit) sollten im Vordergrund stehen, auch in unserem Review
Dokument.

(7) Die Frage von Matthias - "Wer sitzt gerade an welcher Gefährdung?"
ist berechtigt, ich werde asap im Wiki eine Inhaltsübersicht mit den
Gefährdungen / Maßnahmen, usw. einstellen. Wer dann einen Punkt
bearbeitet sollte dann dort einen Semaphor setzen ;-) Wer das nicht
kann, weil er keinen Wiki-Account hat, der möge das einfach in die Liste
posten.

Bis die Tage,
Ralf

Zurück zu (1): Wer hat wann wie viel Zeit?

BTW: (1) bis (7) - Das O in OWASP steht für "open" - die von mir hier
ausgeführten Punkte sind nicht in Stein gemeißelt und stellen eine ganz
persönliche Meinung dar, die gerne diskutiert werden kann.


Am Samstag, den 14.04.2012, 09:58 +0200 schrieb Matthias Rohr:
> Hallo Liste,
> 
> da die Diskussison zu diesem nicht ganz unwichtigen Thema trotz großem
> Interesses, bisher ja leider noch nicht so richtig in die Gänge gekommen
> ist, will ich hiermit mal den Versuch starten das Ganze etwas anzuschieben.
> 
> Es bleiben ja nun noch sechs Wochen Zeit, wird also schon etwas knapp.
> 
> Habe er mal kurz überschlagen, es sind so ungefähr 38 Gefährdungen +
> Matrix die insgesamt gereviewt werden müssen. Davon sind noch ungefähr
> 37 offen, also doch noch etwas zu tun, wenn man das vernünftig
> abschließen will. Zumal ich zwei Kapitel bereits durch habe und
> feststellen musste, dass der Review doch recht mühsam ist.
> 
> Meiner Meinung nach kommen wir hiermit wirklich nur so voran, wenn wir
> die Arbeit klar aufteilen und Arbeitspakete (Review bestimmter
> Gefährdungen) einzelnen Personen oder Gruppen zuteilen.
> 
> Arbeitet denn momentan grade schon jemand am Review bestimmter
> Gefährdungen?
> 
> Ich habe mir bereits eine Gefährdung sowie da die Goldenen Regel
> angesehen, könnte aber in den kommenden Wochen sicher noch so 4-5
> weitere durchsehen.
> 
> Wäre wäre sonst noch bereit, hier in den nächsten Wochen mitzuarbeiten
> und in welchem Umfang?
> 
> @Ralf: Was ist hier dein Vorschlag als Projektleiter?
> 
> Viele Grüße
> 
> Matthias
> _______________________________________________
> BSI-Webbaustein-Review mailing list
> BSI-Webbaustein-Review at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review




More information about the BSI-Webbaustein-Review mailing list