Hinweis: Die aktuelle OOP-Konferenz finden Sie hier!
SIGS DATACOM Fachinformationen für IT-Professionals

SOFTWARE MEETS BUSINESS:
Die Konferenz für Software-Architekturen

München, 01. - 05. Februar 2016

Konferenz

Vortrag: Mi 7.1
Datum: Mi, 03.02.2016
Uhrzeit: 09:00 - 10:30
cart

Continuous-Security-Testing: Ein praktischer Einstieg

Uhrzeit: 09:00 - 09:45
Vortrag: Mi 7.1 1)

 

Für die eigene Web-Anwendung ausschließlich Penetrationstests als Sicherheitsmaßnahmen vorzusehen, ist im Rahmen von Continuous Delivery unzureichend. Die Schnelligkeit und Häufigkeit von Auslieferungen stellt die IT-Sicherheit vor neue Herausforderungen und erfordert neue Lösungsansätze. Dieser Vortrag stellt die Überlegungen und Erfahrungen bei der Definition von Sicherheitsrichtlinien (Secure Coding) und bei der Definition entsprechender Sicherheitstests (Continuous Security Testing) vor.

Zielpublikum: Tester, Entwickler, Projektleiter
Voraussetzungen: Continuous Integration
Schwierigkeitsgrad: Fortgeschritten

Sie lernen:

  • Übersicht zu Security-Entwicklungs-Richtlinien
  • praktischer Einstieg in Secure Coding
  • praktischer Einstieg in Continuous Security Testing

Extended Abstract:
Continuous Delivery (CD) ist in aller Munde. Zu Recht, denn neben der Möglichkeit, sehr frühzeitig Feedback zu neuen Entwicklungen zu erhalten, erlaubt CD durch Automatisierung von Build-, Deploy- und Testprozessen schnell, zuverlässig und wiederholbar Software auszuliefern, qualitativ hochwertig, mit niedrigem manuellen Aufwand und geringem Risiko.
Doch wollen wir unsere Software kontinuierlich ausliefern, müssen wir auch kontinuierlich Sicherheits-Tests durchführen!
Continuous-Security-Testing bedeutet, statische und dynamische Analysen bereits während der Entwicklung durchzuführen, um frühzeitig und regelmäßig Sicherheitsmaßnahmen umzusetzen, bevor manuelle Prüfungen wie Penetrationstests zum Einsatz kommen. Um eine Anwendung bereits während der Entwicklung auf das Vorhandensein sicherheitskritischer Schwachstellen hin überprüfen zu können, ist eine Integration in den Entwicklungsprozess und somit eine kontinuierliche und am besten automatisierte Prüfung notwendig.
Der Vortrag stellt die praktischen Erfahrungen aus einem Projekt vor, bei dem Sicherheits-Richtlinien (Secure Coding Guide) für die eigene Entwicklung von Java-Webanwendungen aufgestellt und Sicherheitstests in den Software-Entwicklungsprozess integriert wurden. Dabei wird auf die organisatorischen, inhaltlichen und technischen Überlegungen eingegangen.

 

Webperformance-Monitoring: Von 0 auf 100 in 45 Minuten!

Uhrzeit: 09:45 - 10:30
Vortrag: Mi 7.1 2)

 

Was ich nicht messen kann, das kann ich auch nicht optimieren. Die optimale Web-Performance ist extrem wichtig für den Erfolg jeder eCommerce-Anwendung und jeder Web-Site. Vor diesem Hintergrund ist es unbedingt erforderlich, die Messung der Performance der eigenen Seite, aber auch der Wettbewerber regelmäßig, zuverlässig und mit wenig Aufwand in den Griff zu bekommen.

Zielpublikum: Entscheider, Entwickler, Architekten
Voraussetzungen: Erfahrungen in der Web-Entwicklung, Basiskenntnisse Web-Performance sind hilfreich
Schwierigkeitsgrad: Fortgeschritten

Sie lernen:

  • Performance ist wichtig.
  • Nur wer misst kann optimieren.
  • Sie werden lernen, wie schnell sich ein eigenes Monitoring einrichten lässt.

Erweiterte Beschreibung:
Anstatt lange darüber zu lamentieren, wollen wir in einer Live Hacking Session an einer Beispielseite zeigen, wie leichtgewichtig ein solches Setup sein kann. Für den Aufbau der synthetischen Messumgebung setzen wir auf die etablierten Werkzeuge WebPagetest (http://webpagetest.org) und OpenSpeedMonitor (http://openspeedmonitor.org). Im Rahmen der Session ziehen wir unter Einsatz von Docker (https://www.docker.com) eine komplette automatisierte Messumgebung hoch und gehen darauf ein, was man beim Aufsetzen der Messungen selbst berücksichtigen sollte. So entsteht in 45 Minuten eine komplette Messumgebung mit erster laufender Performance-Messung in der Cloud - und das alles Lizenzkosten-frei!
Wir gehen aber auch darauf ein, was man beim Aufsetzen der Messungen selbst berücksichtigen sollte:
• Warum ist es wichtig, eine realistische customer journey zu messen?
• Warum sollte die customer journey schon vor der eigenen Seite starten?
• Wie führe ich ein sinnvolles Wettbewerber-Benchmarking durch?
• Welche der zahlreichen erhobenen Kennzahlen zur Seitenperformance ist wofür relevant?