💻 Phase 2: Code

In dieser Phase wird Security konkret: Durch automatisierte Checks im lokalen Entwickler-Workflow können Risiken früh erkannt und eliminiert werden. Shift-Left beginnt im Editor, nicht im Audit.

🧠 Was passiert in dieser Phase?

Linting mit Security-Regeln (z. B. ESLint Plugins, Bandit, TFLint)
Secrets-Erkennung in Code und Configs (Gitleaks, detect-secrets)
Pre-Commit Hooks und CI-Vorverlagerung von Checks
Feedback direkt im Editor (IDE Extensions, Git-Hints)

🛠 Tools & Konzepte

pre-commit Framework mit YAML-basierter Hook-Definition
Editor Extensions: GitHub Copilot w/ Policy Layer, SonarLint
Secrets Scan Hooks: GitGuardian, Talisman, TruffleHog
Projektweite .gitignore + gitleaks.toml + Policy-Dateien

📌 Empfehlung

Sicherheit muss in den Flow. Konfiguriere Git Hooks und sichere Coding-Vorgaben projektweit – als .editorconfig, .pre-commit-config.yaml oder VSCode Workspace Ruleset.

⬅️ Zurück zur Lifecycle-Übersicht

⬅️ Zurück zu Phase 1 – Plan & Design

⏭ Weiter zu Phase 3 – Build