Co je Secure Development Lifecycle (SDLC)?

Question

Accepted Answer

**Secure Development Lifecycle (SDLC)** integruje bezpečnost do každé fáze vývoje software — od požadavků přes design, kódování, testování, nasazení až po údržbu — namísto aby byla bezpečnost řešena až nakonec. Ztělesňuje přístup "shift left" a "security by design".

## Bezpečnost v průběhu celého lifecycle

```text
Integrate security into EVERY phase (not just at the end):
  REQUIREMENTS → define security requirements; consider compliance
  DESIGN → THREAT MODELING; secure architecture; security review of the design
  DEVELOPMENT → secure coding practices; code review; SAST in the IDE/CI
  TESTING → security testing (SAST, DAST, dependency scanning, pen testing)
  DEPLOYMENT → secure configuration; secrets management; hardening
  MAINTENANCE → patching, monitoring, incident response, ongoing scanning
→ "shift left" — address security EARLY (cheaper than fixing after a breach).
```

## Proč shift left

```text
The cost to fix a security flaw GROWS dramatically the later it's found:
  caught in design/code (cheap) << found in testing << exploited in PRODUCTION
  (very expensive: breach, damage, emergency response)
→ Building security in early (vs bolting it on / fixing breaches) is far more effective
  and cheaper.
```

## Praktiky podporující SDLC

```text
✓ Security TRAINING for developers; secure coding standards
✓ Automated security in CI/CD (SAST, dependency scanning, secret scanning) → catch per change
✓ Threat modeling and security review at design; security testing before release
✓ Security CHAMPIONS in teams; security as part of "definition of done"
✓ Continuous monitoring, patching, and improvement in production
→ Make security a continuous, integrated part of how software is built (DevSecOps).
```

## Proč to má smysl

Porozumění Secure Development Lifecycle je cenné znalosti na senior úrovni, protože představuje **zralý, účinný přístup k integraci bezpečnosti do celého vývoje** namísto toho, aby byla bezpečnost řešena až nakonec, a proto je důležité pro systematické budování bezpečného software.

SDLC integruje bezpečnost do **každé fáze** — požadavky (definování bezpečnostních potřeb), design (threat modeling, bezpečná architektura), vývoj (bezpečné kódování, SAST), testování (bezpečnostní testování), nasazení (bezpečná konfigurace, hardening) a údržba (patching, monitoring, incident response) — ztělesňující **"security by design"** a **"shift left."** Klíčová vhled je pochopení této komplexní integrace: bezpečnost není jedinou fází nebo doplňkem, ale průběžnou záležitostí provázenou celým lifecycle.

Pochopení **důležitosti shift left** — že náklady na opravu bezpečnostní chyby se dramaticky zvyšují, čím později je chyba objevena (levné v design/kódu, drahé při zneužití v produkci s breachem a nouzovou odezvou) — poskytuje přesvědčivý ekonomický a účinnostní důvod pro řešení bezpečnosti brzy namísto reaktivního reagování na breache.

Pochopení **podpůrných praktik** — bezpečnostní školení a standardy pro vývojáře, **automatizovaná bezpečnost v CI/CD** (SAST, skenování závislostí, skenování tajemství zachycující problémy na změnu), threat modeling a bezpečnostní přezkoumání v designu, bezpečnostní testování před vydáním, bezpečnostní šampióni a bezpečnost v "definition of done" a průběžné monitoring a patching v produkci — odráží, jak je SDLC implementován v praxi (často se nazývá DevSecOps).

Toto představuje zralý přístup k bezpečnosti, který přijímají efektivní organizace.

Proto, že efektivní budování bezpečného software vyžaduje integraci bezpečnosti do celého vývoje (ne jako poznatek nakonec) a SDLC/shift-left přístup je mnohem účinnější a levnější než reaktivní bezpečnost, a protože jeho pochopení odráží zralou bezpečnostní praxi, pochopení Secure Development Lifecycle je cenné znalosti na senior úrovni — systematický, integrovaný přístup k budování bezpečného software, ztělesňující security-by-design a shift-left a odrážející komplexní bezpečnostní zralost (DevSecOps) očekávanou pro senior role, které formují, jak týmy budují software bezpečně v průběhu celého vývojového procesu.