Hinweis: Die aktuelle OOP-Konferenz finden Sie hier!
SIGS DATACOM Fachinformationen für IT-Professionals

SOFTWARE MEETS BUSINESS:
Die Konferenz für Software-Architekturen

München, 01. - 05. Februar 2016

Konferenz

Vortrag: Mi 3.1
Datum: Mi, 03.02.2016
Uhrzeit: 09:00 - 10:30
cart

Agil, aber sicher? Security im agilen Entwicklungsprozess

Uhrzeit: 09:00 - 10:30
Vortrag: Mi 3.1

 

Die agile Software-Entwicklung ist inzwischen weit verbreitet. Doch wie sieht es mit dem Aspekt der Sicherheit im agilen Prozess aus? Wenn überhaupt, dann soll diese meist kurz vor Produktivsetzung durch externe Penetrationstester „hinein getestet“ werden. In diesem Vortrag wird vorgestellt, wie in der Praxis entsprechende Aktivitäten wie u. a. „Secure Coding“ und automatisiertes Security-Testing in den agilen Entwicklungsprozess integriert werden können. Damit entsteht am Ende eines Sprints ein „sicheres“ potenziell auslieferbares Inkrement.

Zielpublikum: Architekten, Entwickler, Tester und alle Security-Interessierte
Voraussetzungen: Java-Grundkenntnisse, Grundkenntnisse im Testen, Fachkenntnisse zu agilen Methoden
Schwierigkeitsgrad: Anfänger

Sie lernen:

  • Agile Entwicklung sicherer Software von Anfang an
  • Aufdecken von Sicherheitslücken durch automatisierte Security-Tests
  • Secure DevOps

Erweiterte Beschreibung:
Heutzutage treten die häufigsten Sicherheitsprobleme auf Anwendungsebene auf. Fast täglich werden entsprechende "Einbruchserfolge" in den Nachrichten vermeldet. Im Zuge aktueller Entwicklungstrends in Richtung Microservices, Cloud, Big Data und dem Internet of Things werden diese Bedrohungen potenziell weiter an Bedeutung zunehmen.
Versuche, durch nachträgliche Penetrationstests die Sicherheit in eine Anwendung "hinein zu testen", sind zum Scheitern verurteilt.
In diesem Vortrag wird dargestellt, wie auch in der agilen Software-Entwicklung durch geeignete Maßnahmen und Aktivitäten die Sicherheit in den entwickelten Anwendungen erhöht werden kann. Dabei werden Themen aus dem gesamten Softwarelebenszyklus behandelt, wie unter anderem: Security-Anforderungen, Threat Modeling, Secure Coding, Continuous Integration mit automatisiertem Security-Testing. Abgeschlossen wird dies mit entsprechenden Best Practices für den sicheren Betrieb der Anwendungen (Secure DevOps).
In diversen praktischen Demos wird gezeigt, wie auch mit nicht-kommerziellen Werkzeugen (u.a. aus dem Open-Source-Bereich) die Entwicklung sicherer Software sehr gut unterstützt werden kann. U.a. werden automatisierte Security-Tests anhand einer absichtlich verwundbar gestalteten Webanwendung demonstriert ("Live-Hacking").
Durch die im Vortrag gezeigte Vorgehensweise kann man nach dem 80/20-Prinzip verfahren. D.h. 80% der Sicherheit wird direkt im agilen Entwicklungsprozess mit 20% des Security-Budgets abgedeckt. Für die restlichen 20% (die wirklich harten Fälle) kann dann für die restlichen 80% des Budgets noch der professionelle Penetrationstester zum Einsatz kommen.