secure
sdlc

Køb hjælp til
implementering

Se Secure SDLC-kursus
Sikker softwareudvikling - SDLC
Sikker softwareudvikling opnås ved at implementere et Secure SDLC i virksomheden. Vi hjælper danske og udlandske virksomheder med at implementere hele Secure SDLC-processen, så jeres software lever op til kravene i CRA og NIS2.

Kursus i Secure SDLC

Hos Nesp.ONE tilbyder vi træningskurser i sikkersoftwareudvikling, målrettet udviklingsteams der ønsker at professionalisere og systematisere deres arbejde med sikkerhed – i tråd med ISO 27001, NIS2, CRA og kundekrav.
Kurset strækker sig over to moduler af to dage med ca. 14 dages projektarbejde imellem. 
Bestil kursus

Modul 1:

•  Intro til kerneprincipperne bag sikker softwareudvikling

•  Forbindelsen mellem kultur, teknik og ledelse (KTL-modellen)

•  Præsentation af DevSecOps

•  Indblik i hvorfor og hvordan DevSecOps, build management og dependency control implementeres i udviklingen

•  Skabe fælles retning for hele udviklingsteamet

2 dage

Projektfase:

Mellem modulerne arbejder deltagerne i teams med at afprøve principper og metoder i praksis

14 dage

Modul 2:

•  Gennemgang og feedback på deltagernes projektarbejde

•  Implementering af sikkerhedsforanstaltninger i praksis

•  Sikkerhed i udviklingsmiljøer: Adskillelse af dev/test/prod, kontrol med adgang

•  Arbejde med underleverandører og opensource

•  Pentesting, statisk analyse og dokumentation af testresultater

•  Forberedelse til fremtidige krav: CRA, DORA, leverandørkontrol og ISO-certificering

•  Udarbejde framework til sikker softwareudviklingsproces

2 dage

Opbygning af Secure SDLC:

Secure SDLC-uddannelse:
nr.1
Awareness og træning af softwareudviklere i at integrere sikkerhed som en grundlæggende del af udviklingsprocessen. Ansvarlig: Softwareudviklere
Secure SDLC-proces:
nr.2
Udvikling af en sikker softwareudviklingsproces specifikt for virksomheden.
Ansvarlig: Softwareudviklingsteams og projektledelse
Secure SDLC og AI:
nr.3
Sikkerhedsforanstaltninger, der er nødvendige ved anvendelse af generativ AI i softwareudvikling. Ansvarlig: Softwareudviklingsteams og projektledelse
Sikkerhedskodegennemgang:
nr.4
Uafhængig kodegennemgang udført af eksterne sikkerhedseksperter.
Ansvarlig: Softwareudviklingsteams og projektledelse
Sikkerhedsdokumentation:
nr.5
Dokumentation af udviklingsprocessen, sikkerhedstest og kodegennemgangsprocessen.
Ansvarlig: Produktudviklingsledelse
Insourcing af sikker softwareudvikling:
nr.6
Professionelle softwareudviklere med dokumenteret sikkerhedstræning.
Ansvarlig: Projektledelse

ERP-systemer
& sikker softwareudvikling

ISO 27001, NIS2 og Cyber Resilience Act (CRA) stiller krav til at kodning i og tilretning af ERP-systemer overholder kriterierne for sikker softwareudvikling (Secure SDLC).

ERP-systemer som Microsoft Dynamics 365 Business Central er i dag forretningskritiske platforme, der håndterer finansielle data, persondata, kontrakter og komplekse integrationer. Sikkerhedsrisikoen ligger sjældent i selve platformen – men i integrationer, API’er, rettighedsstyring, AI-funktioner og manglende governance.
ERP-tilpasninger, extensions, API’er og integrationer skal udvikles, testes, godkendes og vedligeholdes efter principperne for sikker softwareudvikling.

Nesp.ONE hjælper virksomheder med at skabe overblik, struktur og dokumentation – så ERP-sikkerhed bliver en integreret del af jeres compliance- og governance-ramme.

Outsourcing af softwareudvikling

Outsourcing af sikkerhedsgennemgang giver jer mulighed for at fokusere på udvikling – mens vi sikrer, at jeres kode lever op til høje sikkerhedsstandarder.
• Nesp.ONE tilbyder professionel sikkerhedsgennemgang af jeres kode, så den både er funktionel, og fri for svagheder.

Step 1:

Udarbejdning af kode

•  Jeres programmører udvikler koden

•  Koden vidersendes til Nesp.ONE

•  Ved at outsource sikkerhedsgennemgangen opnår I et ekstra lag af kvalitetssikring og dokumenteret sikkerhed.

Step 2:

Sikkerhedsgennemgang

•  Nesp.ONE gennemgår koden med fokus på sikkerhed, kvalitet og best practice.

•   Identifikation af sårbarheder, skjulte bagdøre og andre risici.

•   Gennemgangen udføres i henhold til Secure Software Development Lifecycle (SSDLC).

Step 3:

Dokumentation af kode

•  Efter gennemgangen dokumenterer vi, at koden er blevet revideret og kvalitetssikret.

•  Nesp.ONE leverer koden retur sammen med et sikkerhedsstempel

•  Det bekræfter, at den er kontrolleret efter gældende sikkerhedskrav.

Har I styr på jeres softwareudvikling?

Nesp.ONE sørger for, at jeres  softwareudvikling lever op til kravene – så I kan sikre jeres forretning på det europæiske marked.
Book et møde i dag

Ofte stillede spørgsmål

Secure SDLC (Secure Software Development Lifecycle) er en metode til at integrere sikkerhed i hele softwareudviklingsprocessen – fra kravspecifikation og design til udvikling, test, deployment og vedligehold. 

Metoden bygger på principper som Security by Design og Security by Default, hvor sikkerhed indarbejdes fra starten fremfor at blive tilføjet senere. 

Formålet er at identificere og håndtere sikkerhedsrisici tidligt i processen fremfor at rette sårbarheder sent i projektet. Secure SDLC reducerer risiko, omkostninger og compliance-udfordringer. 

Hos Nesp.ONE rådgiver vi virksomheder om forståelse og implementering af Secure SDLC i praksis. 

Security by Design betyder, at sikkerhed indbygges i arkitekturen og designet af systemer fra begyndelsen. 

Det indebærer blandt andet: 

  • Trusselsmodellering i designfasen. 
  • Risikovurdering af arkitekturvalg. 
  • Sikker systemintegration. 
  • Indarbejdelse af sikkerhedskrav i specifikationer. 

Security by Design er et grundprincip i Secure SDLC og sikrer, at sikkerhed bliver en strukturel del af løsningen – ikke en efterfølgende rettelse. 

Security by Default betyder, at systemer leveres med de mest sikre standardindstillinger aktiveret. 

Eksempler kan være: 

  • Least privilege som standard. 
  • Kryptering aktiveret som udgangspunkt. 
  • Logging og monitorering slået til. 
  • Unødvendige services deaktiveret. 

Security by Default reducerer risikoen for fejlkonfigurationer og understøtter både compliance og leverandøransvar. 

Cybertrusler, compliancekrav (f.eks. NIS2, Cyber Resilience Act og ISO 27001) og stigende kundekrav gør sikker softwareudvikling til en forretningskritisk disciplin. 

Secure SDLC hjælper virksomheder med at: 

  • Reducere sikkerhedssårbarheder. 
  • Overholde regulatoriske krav. 
  • Dokumentere sikkerhedsindsats. 
  • Forbedre kvalitet og stabilitet. 
  • Beskytte forretningens omdømme. 

Ved at arbejde systematisk med Security by Design og Security by Default kan virksomheder dokumentere risikobaseret sikkerhed. 

Hos Nesp.ONE hjælper vi virksomheder med at implementere Secure SDLC i overensstemmelse med gældende regulatoriske krav. 

Implementering af Secure SDLC kræver organisatorisk forankring, teknisk modenhed og klare processer. 

Det handler om at: 

  • Integrere sikkerhedsaktiviteter i eksisterende udviklingsmetoder. 
  • Operationalisere Security by Design. 
  • Indføre Security by Default-principper. 
  • Sikre dokumentation og governance. 

Nesp.ONE rådgiver danske virksomheder om implementering og modning af Secure SDLC i både agile og DevOps-miljøer – herunder risikovurdering, procesdesign, værktøjsvalg og compliance-tilpasning. 

Ja, Secure SDLC kan integreres i Agile, DevOps og andre moderne udviklingsmetoder uden at ændre organisationens grundlæggende arbejdsform. 

Det kræver primært: 

  • Justering af governance og roller. 
  • Indførelse af sikkerhedskrav i backlog. 
  • Automatiserede sikkerhedstests (SAST, DAST, SCA). 
  • Tydelige kontrolpunkter i CI/CD-pipeline. 
  • Arkitektur- og designreviews. 

Hos Nesp.ONE arbejder vi med at integrere sikkerhed naturligt i eksisterende workflows og værktøjer. 

Secure SDLC er den overordnede metode for at integrere sikkerhed i hele udviklingslivscyklussen. 

DevSecOps er en praksis, der operationaliserer sikkerhed i DevOps-miljøer – ofte med fokus på automatisering, CI/CD og løbende scanning. 

Secure SDLC sætter den strukturelle ramme. 
DevSecOps er en måde at implementere den på i praksis. 

Security by Design og Security by Default er principper, som begge tilgange bygger på. 

Typiske aktiviteter omfatter: 

  • Trusselsmodellering. 
  • Sikker arkitekturdesign. 
  • Secure coding guidelines. 
  • Code reviews. 
  • SAST, DAST og dependency scanning. 
  • Penetrationstest og sårbarhedsscanning. 
  • Dokumentation og compliance-kontrol. 

Aktiviteterne tilpasses organisationens risikoprofil, modenhed og regulatoriske krav. 

Omkostningerne afhænger af organisationens størrelse, modenhed og eksisterende processer. 

I praksis er Secure SDLC ofte en investering i procesoptimering fremfor en isoleret sikkerhedsudgift. Mange virksomheder oplever, at tidlig identifikation af sårbarheder reducerer samlede udviklingsomkostninger. 

En moden Secure SDLC reducerer teknisk gæld og sikkerhedsrelaterede incident-omkostninger. 

Ideelt set fra projektets begyndelse – som en del af arkitektur og design. 

Men Secure SDLC kan implementeres gradvist, f.eks. ved først at indføre: 

  • Sikkerhedskrav i backlog. 
  • Automatiseret scanning i CI/CD. 
  • Trusselsmodellering i designfasen. 
  • Baseline-principper for Security by Default. 

En trinvis tilgang gør implementeringen realistisk og organisatorisk forankret. 

Karsten Dahl Vandrup, Partner – Cybersikkerhedsekspert, Lektor, Rådgiver.

Martin Schulze, Partner – CISO, Sikkerhedsekspert, Rådgiver.

Kontakt  //  

nesp.ONE

martinkarsten+45 53 88 84 00secmail@nespone.comOnsgårds Tværvej 6 // 2900 Hellerup