Im letzten Semester habe ich eine Seminararbeit zum Thema „Software Architectural Tactics and Patterns for Safety and Security“ geschrieben. Grob gesagt geht es darum, wie man auf Architektur-Ebene Sicherheitsaspekte (Safety und Security) behandeln kann.

Dabei stürze ich mich hauptsächlich auf die vom SEI eingeführten Tactics. Das sind eigentlich nicht viel mehr, als wiederverwendbare Ideen um bestimmte Qualitätsziele (wie eben auch Sicherheit) zu erreichen.

Tactics sind sehr feingranular und deshalb sehr flexibel, haben aber den Nachteil, dass sie auch wenig konkret sind. Theoretisch kann man sich aus einzelnen Tactics Patterns zusammenbasteln und so quasi maßschneidern. Für dieses Maßschneidern gibts aber nicht allzu viel Hilfestellung (wie das bei Patterns der Fall wäre).

Eine Taktik wäre beispielsweise „Authorization“ um unbefugten Zugriff zu verhindern. Wie die Autorisierung aber nun funktionieren soll, sagt die Taktik nicht. Es ist wirklich nur die Idee, nicht die Realisierung derselben, die hier wiederverwendet wird.

IMHO ist der Wert solcher Taktiken deshalb deutlich geringer, als der Wert von Patterns. Dennoch finde ich solche Taktik-Kataloge ganz interessant. Einfach um mal nach zu gucken, ob man auch an X und Y gedacht hat…

Auf knapp 12 Seiten kann ich selbstverständlich nicht allzu viel präsentieren und auch nahe liegenden Gründen ist das auch recht akademisch. Insgesamt ist die Seminararbeit also mehr eine Zusammenfassung der Problematik und möglicher Lösungsansätze. Ich hab mir auch schon überlegt, ob ich da drüber ein etwas praktischer orientiertes Tutorial schreibe, aber da gibts wohl vorher noch diverse andere Themen, die sich besser für Tutorials eigenen. Hier also erstmal meine Seminararbeit. Vielleicht interessiert sie ja doch den einen oder anderen: