SOFTWARE MEETS BUSINESS:
Die Konferenz für Software-Architektur
08. - 12. Februar 2021, Online-Konferenz
SOFTWARE MEETS BUSINESS:
Die Konferenz für Software-Architektur
08. - 12. Februar 2021, Online-Konferenz
In diesem Tutorial wird gezeigt, wie man das Sec in seinen DevOps-Workflow integrieren kann. Am Beispiel einer einfachen vorbereiteten App werden wir unter Zuhilfenahme von Open-Source-Tools bekannte Sicherheitslücken in Drittanbieter-Bibliotheken und Containern suchen, zusätzlich werden wir auch die APIs der Anwendung mit einem dynamischen security-scanner angreifen, der einfache Angriffe ausführen wird.
Weiterhin werden die Teilnehmenden sich damit beschäftigen, wie sich eine CI-Pipeline mit diesen Techniken erweitern lässt.
Maximale Teilnehmerzahl: 10
Benötigt wird ein Laptop mit folgender Software:
Zielpublikum: Entwickler:innen
Voraussetzungen: Kenntnisse von Java und maven/gradle. Wissen über Continuous Integration hilfreich
Schwierigkeitsgrad: Fortgeschritten
Extended Abstract:
Im Tutorial soll vermittelt werden, dass man auch ohne viel Sicherheits-Erfahrung durch (automatisiertes) Tooling schon während der Entwicklungszeit, aber auch im Betrieb, viel über die eigene Anwendung und deren Schwachstellen lernen kann, aber auch Prozesse erarbeiten muss, um diese zu beheben.
Beispiele werden anhand einer vorgegebenen Java-Anwendung erarbeitet, die auf Basis von Springboot, maven/gradle gebaut wird und mit REST-APIs arbeitet.
Wir werden uns mit Dependency-Check beschäftigen, um bekannte Sicherheitslücken in der Anwendung zu finden und zu behandeln, für Container werden wir clair oder trivy kennenlernen.
Um auch zur Laufzeit der Anwendung Angriffsmöglichkeiten zu erkennen und vorzubeugen, wird die API der Anwendung mithilfe von ZAProxy angegriffen
Die Integration in die vorhandene CI-Pipeline zeigt auch die Automatisierbarkeit, bringt aber nicht nur Vorteile mit sich, "free" gibts eben nicht "gratis".
In einer abschließenden Diskussion möchten wir zusammen mögliche Einschnitte, aber auch Verbesserungspotenzial und mögliche Prozessänderungen besprechen.
Für den Workshop sollte ein Rechner mit lokalem Docker daemon vorhanden sein.
Nicht nur regulatorische Anforderungen, auch die geänderte Bedrohungslage in der Cloud sind bei der Speicherung und Verarbeitung kritischer Daten eine Herausforderung für Architektur und Technik.
Wir diskutieren verschiedene Architekturen und Technologien, wie sich Defense-in-Depth, Mandantentrennung, Absicherung von Data-at-Rest und Data-in-Transit, Daten-Autonomie und Retention Policies umsetzen lassen, sprechen über Nachvollziehbarkeit und Separation-of-Concerns und teilen Erfahrungen aus der Praxis.
Zielpublikum: Architekt:innen, Entwickler:innen
Voraussetzungen: Ein grundlegendes Verständnis für Architektur ist hilfreich, aber keine Voraussetzung
Schwierigkeitsgrad: Anfänger
Andreas Zitzelsberger ist Entwickler und Architekt aus Leidenschaft und arbeitet als Technischer Geschäftsbereichsleiter bei QAware. Seine Schwerpunkte sind Cloud und Cloud Native Security.
Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/andreas.zitzelsberger
Vortrag Teilen
Agile Software-Entwicklung und kontinuierliches Threat Modeling: Geht das? Ja, und zwar ganz getreu dem DevSecOps-Sinne mittels “Threat-Model-as-Code”!
Sehen Sie in dem Talk die Ideen hinter diesem Ansatz: Entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus, ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen: In IDEs editierbare und in Git diffbare Modelle, interaktive Modellerstellung, automatisch regel-basiert abgeleitete Risiken sowie grafische Diagramm- und Reportgenerierung inkl. Mitigationsmaßnahmen.
Zielpublikum: Architekt:innen, Entwickler:innen, Security Consultants
Voraussetzungen: Architekturerfahrung & Security-Interesse
Schwierigkeitsgrad: Fortgeschrittee
Extended Abstract:
Nachdem die Herausforderung, Security in agile Projektmethoden und DevOps-Verfahren zu integrieren, mittels DevSecOps angegangen wurde, steht direkt das nächste Integrationsproblem vor der Tür: Bedrohungsmodellierung!
Wenn wir durch Pipeline-as-Code zuverlässig, reproduzierbar und jederzeit schnell unsere Software bauen können und nun auch durch passende Werkzeuge Securityscans automatisiert haben, wie können wir dann die Risikolandschaft unserer Projekte ebenfalls schnell erfassen?
Eigentlich geschieht so etwas in aufwendigen Workshops mit viel Diskussion sowie Modellarbeit am Whiteboard mit Kästchen, Pfeilen & Wölkchen. Diese Veranstaltungen sind durchaus sinnvoll und wichtig, da nur mit dieser Tiefe manche Bedrohungen in einer Architektur rechtzeitig erkannt werden. Schade nur, dass es meistens dann auch aufhört: Anstelle eines lebenden Modells entsteht ein langsam aber sicher erodierendes Artefakt.
Um diesem Verfallsprozess entgegenzuwirken, muss etwas Kontinuierliches her, etwas wie "Threat-Model-as-Code" im DevSecOps-Sinne. Sehen Sie in diesem Talk die Ideen hinter diesem Ansatz: Agiles und entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus — ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen.
Ergebnis? In Entwickler-IDEs editierbare und in Git diffbare Modelle, automatisch regel-basiert abgeleitete Risiken inklusive grafischer Diagramm- und Reportgenerierung mit Mitigationsmaßnahmen. Die Architektur ändert sich? Ein erneuter Lauf liefert die aktuelle Risikosicht …
Vortrag Teilen