Što je sigurni životni ciklus razvoja (SDLC)?

Question

Accepted Answer

**Sigurni životni ciklus razvoja (SDLC)** integrira sigurnost u svaku fazu razvoja softvera — od zahtjeva kroz dizajn, kodiranje, testiranje, implementaciju i održavanje — umjesto da je tretira kao naknadu. Воплощava "shift left" i "sigurnost po dizajnu."

## Sigurnost kroz životni ciklus

```text
Integrate security into EVERY phase (not just at the end):
  REQUIREMENTS → define security requirements; consider compliance
  DESIGN → THREAT MODELING; secure architecture; security review of the design
  DEVELOPMENT → secure coding practices; code review; SAST in the IDE/CI
  TESTING → security testing (SAST, DAST, dependency scanning, pen testing)
  DEPLOYMENT → secure configuration; secrets management; hardening
  MAINTENANCE → patching, monitoring, incident response, ongoing scanning
→ "shift left" — address security EARLY (cheaper than fixing after a breach).
```

## Zašto shift left

```text
The cost to fix a security flaw GROWS dramatically the later it's found:
  caught in design/code (cheap) << found in testing << exploited in PRODUCTION
  (very expensive: breach, damage, emergency response)
→ Building security in early (vs bolting it on / fixing breaches) is far more effective
  and cheaper.
```

## Prakse koje podržavaju SDLC

```text
✓ Security TRAINING for developers; secure coding standards
✓ Automated security in CI/CD (SAST, dependency scanning, secret scanning) → catch per change
✓ Threat modeling and security review at design; security testing before release
✓ Security CHAMPIONS in teams; security as part of "definition of done"
✓ Continuous monitoring, patching, and improvement in production
→ Make security a continuous, integrated part of how software is built (DevSecOps).
```

## Zašto je važno

Razumijevanje sigurnog životnog ciklusa razvoja je vrijedna znanja na visokoj razini jer predstavlja **zreliji, učinkovitiji pristup integraciji sigurnosti tijekom razvoja** umjesto kao naknada, pa je važno za sistematsku izgradnju sigurnog softvera.

SDLC integrira sigurnost u **svaku fazu** — zahtjeve (definiranje sigurnosnih potreba), dizajn (modeliranje prijetnji, sigurna arhitektura), razvoj (sigurno kodiranje, SAST), testiranje (sigurnosno testiranje), implementaciju (sigurna konfiguracija, pojačavanje) i održavanje (zakrpe, nadzor, odgovor na incidente) — воплощavajući **"sigurnost po dizajnu"** i **"shift left."** Razumijevanje ove sveobuhvatne integracije je ključna spoznaja: sigurnost nije jedna faza ili dodatak već stalna briga utkana kroz cijeli životni ciklus.

Razumijevanje **zašto shift left matters** — da troškovi ispravljanja sigurnosne greške dramatizirano rastu što se kasnije otkrije (jeftino u dizajnu/kodu, skupo kada se ekspluatira u proizvodnji s napadom i hitnim odgovorom) — pruža uvjerljivo ekonomsko i učinkovitost obrazloženje za rješavanje sigurnosti rano umjesto reagiranja na napade.

Razumijevanje **pratećih praksi** — sigurnosna edukacija i standardi za razvojne inženjere, **automatizirana sigurnost u CI/CD** (SAST, skeniranje ovisnosti, skeniranje tajni koje hvataju probleme po promjeni), modeliranje prijetnji i sigurnostni pregled pri dizajnu, sigurnosno testiranje prije izdanja, sigurnosni prvaci i sigurnost u "definiciji gotovosti" te kontinuirani nadzor proizvodnje i patching — odražava kako se SDLC implementira u praksi (često nazvan DevSecOps).

Ovo predstavlja zreliji pristup sigurnosti koji učinkovite organizacije usvajaju.

Budući da učinkovita izgradnja sigurnog softvera zahtijeva integraciju sigurnosti tijekom razvoja (ne kao naknaду) i pristup SDLC/shift-left je daleko učinkovitiji i jeftiniji od reaktivne sigurnosti, te budući da razumijevanje toga odražava zrelу sigurnosnu praksu, razumijevanje sigurnog životnog ciklusa razvoja je vrijedna znanja na visokoj razini — sistematski, integrirani pristup izgradnji sigurnog softvera, воплощavajući sigurnost-po-dizajnu i shift-left, te odražavajući sveobuhvatnu sigurnosnu zrelost (DevSecOps) očekivanu za više uloge koje oblikuju kako timovi sigurno grade softver tijekom cijelog procesa razvoja.