Beschreibung
TätigkeitenbeschreibungWir bitten um Abgabe Ihres Angebots bis zum 14.08.2018 e.o.b. an
Als Tagessatz können wir Ihnen bis zu 744,00 € p.d. all-in netto anbieten.
Die Anfrage bezieht sich auf eine Vollzeit-Beschäftigung mit 8h / Tag.
Bei weiteren Fragen wenden Sie sich bitte an unsere Ansprechpartnerin Nadja Mona Hölß unter
Beschreibung des Projekt-/ Verfahrenskontext
Die Leistungen des Auftragnehmers (Dienstleisters) werden für das Verfahren SAST erbracht. Dieses hat folgenden Inhalt:
Im Rahmen des Entwicklungsprozesses von Anwendungen werden automatische Codeanalysen durchgeführt, um den Code auf Sicherheitsschwachstellen zu überprüfen. Als Tool für die Analy-se kommt Fortify zum Einsatz. Da Tools wie Fortify i.d.R. sehr viele Hinweise auf mögliche Schwachstellen liefern, ist es von zentraler Bedeutung die Ergebnisse korrekt zu interpretieren, im jeweiligen Kontext angemessen zu filtern und zu priorisieren.
Gegenstand des Vertrags
Der Dienstleister erbringt folgende Leistungen:
Überprüfung und Interpretation der Ergebnisse von durchgeführten Code-Scans. Identifikation von False Positives und Priorisierung der Ergebnisse unter Berücksichtigung des jeweiligen Projekt- und Anwendungskontextes
Fachliche Beratung von Architekten und Entwicklern bei der Interpretation der Ergebnisse (warum handelt es sich in dem gegebenen Kontext um eine Schwachstelle?), bei der Bewertung der mit den Schwachstellen verbundenen Risiken sowie der Identifikation und Planung von Gegenmaßnahmen
Optimierung der Konfiguration von Fortify und des Analyseprozesses, um im jeweiligen Projekt- und Anwendungskontextes optimale Analyseergebnisse zu erzielen
Erstellung von ggf. Projekt/Anwendungs-übergreifenden Berichten über das Software Security Center (eine Komponente von Fortify)
Die Leistungen werden tageweise und je nach Bedarf der Anwendungen abgerufen. Kurze Einsatzzeiten von 1 – 2 PT sind wahrscheinlich. Bedarfe werden rechtzeitig vor Einsatzbeginn ermittelt und kommuniziert.
Anforderungsprofil an Erfüllungsgehilfen (externe Fachkräfte)
Gewichtung fachliche Anforderungen: 70%
Die Angebote müssen die im Folgenden definierten Muss-Anforderungen sowie die Soll-Anforderungen in ausreichendem Maße erfüllen, ansonsten werden Sie von der Angebotsbewertung ausgeschlossen.
Benötigte Skills
Ggf. Level
Detaillierung, z.B. Projektmethodik / Geschäftsprozesse / Technologie
Muss-
Kriterium
Soll-
Kriterium
Application Security
1
Hervorragende Kenntnisse über Bedrohungszenarien, potentielle Schwachstellen, die Bewertung der damit verbundenen Risiken sowie Methoden zur Behebung von Schwachstellen bzw. Reduktion der Risiken
X
Softwarearchitektur & Entwicklung
1
Hervorragende Kenntnisse zum technischen Design und der Entwicklung von Web-Anwendungen im Java/Javascript-Umfeld
X
Fortify-Know-How
1
Hervorragende Kenntnisse in der Konfiguration und Verwendung von Fortify
X
Präsentations-Know-how
1
Umsetzung von Analyseergebnissen in Management-taugliche Präsentationen
X
Kommunikations- und Moderations-Know-how
1
Durchführung von Workshops um Architekten und Entwicklern Analyseergebnisse nachhaltig zu erläutern und effektive Maßnahmen zur Korrektur von Schwachstellen und Reduktion von Risiken zu erarbeiten
X
Problemlösungs-/ Arbeitsorganisations-Know-how
1
Hervorragende Kenntnisse zur Definition von Gegenmaßnahmen oder zur Reduktion von Risiken
X
Know-how zur Identifikation Chancen/ Risiken
1
Hervorragende Expertise in der Analyse potentieller Schwachstellen und den damit verbundenen Risiken im jeweiligen Anwendungskontext.
X
Business Cases/Geschäftsmodelle
1
Hervorragende Kenntnisse über die Wirkung und Wirtschaftlichkeit von Maßnahmen zur Steigerung der Anwendungssicherheit
X
Vorgehensmodelle und Prozessberatung
1
Hervorragende Kenntnisse über die Etablierung eines Secure Development Lifecycles in der Softwareentwicklung
X