SOFTWARE MEETS BUSINESS:
Die Konferenz für Software-Architektur
31.01. - 04.02.2022
flag
Konferenzprogramm
Die im Konferenzprogramm der OOP 2022 Digital angegebenen Uhrzeiten entsprechen der Central European Time (CET).
Unser Programm gibt es auch als praktische PDF-Datei >>Zum Download
Thema: Security
- Montag
31.01. - Dienstag
01.02. - Mittwoch
02.02. - Donnerstag
03.02.
, (Montag, 31.Januar 2022)
10:00 - 13:00
Mo 8
Ausgebucht
Sichere Web-basierte Architekturen: Aktuelle Schwachstellen und Werkzeuge zu ihrer Behebung
Sichere Web-basierte Architekturen: Aktuelle Schwachstellen und Werkzeuge zu ihrer Behebung
Die Teilnehmer erlangen aktuelle praktische Kenntnisse zur Sicherheit von Web-basierten Architekturen in Entwicklung und Einsatz, inkl. Schutzmaßnahmen und Best Practices. Insbesondere wird die kürzlich veröffentlichte Version 2021 der „OWASP Top 10 Security Vulnerabilities“ des „Open Web Application Security Project“ vorgestellt, die alle vier Jahre aktualisiert werden. Es gibt praktische Übungen mittels Open-Source-Werkzeugen für die Sicherheitsanalyse von Architekturen und Implementierungen, für die ein Laptop mitgebracht werden sollte.
Benötigte Software: SonarQube und das Microsoft Threat Modelling Tool
Maximale Teilnehmerzahl: 20
Zielpublikum: Architekt:innen, Entwickler:innen, QA-Manager, Projektleiter:innen, Product Owners
Voraussetzungen: Grundlegendes Verständnis von Webanwendungen
Schwierigkeitsgrad: Anfänger
Jan Jürjens ist Director Research Projects am Fraunhofer ISST und leitet als Professor für Software Engineering das Institut für Softwaretechnik an der Universität Koblenz. Sein Arbeitsschwerpunkt ist die Entwicklung und das Testen sicherheitskritischer Software, für die er Ansätze und Werkzeuge in Kooperation mit Unternehmen entwickelt. Er ist Autor des Buches 'Secure Software Development with UML', das auch ins Chinesische übersetzt wurde.
Jan Jürjens
14:00 - 17:00
Mo 14
Limitiert
Security Games – Playfully Improve your Security
Security Games – Playfully Improve your Security
Security is an important topic, especially when developing software. But it is seen as complex and is holding everyone back, often put off until the end and delegated to an external person or group.
To be effective security needs to be a continuous part of the development process and to involve the whole team.
Security games can help to achieve this. They involve the whole team and facilitate the learning and application of security principles. They offer a way to integrate expert knowledge and make security less scary, maybe even fun.
Maximum number of participants: 50
Target Audience: Architects, Developers, Project Leaders, Testers, Security Experts
Prerequisites: General interest in security, basic development experience
Level: Basic
Claudius Link is working in IT since 1994 in roles from system and network administration, support, software development, development manager to information security officer.
During this time he worked in different domains. Ranging from medical devices and laboratory systems, numerical simulations, transportation, financial industry, through security software and as information security officer for a medium sized subsidiary of a global enterprise.
Currently he is self-employed, promoting human centred security.
Matthias Altmann is a software developer and IT security expert at Micromata GmbH, where he and his colleagues oversee and develop the IT security area. He is also co-founder and organizer of the IT Security Meetup Kassel, a network of IT security enthusiasts dedicated to professional exchange on the topic. More information on his blog: https://secf00tprint.github.io/blog
Claudius Link,
Matthias Altmann
Claudius Link,
Matthias Altmann
Vortrag Teilen
, (Dienstag, 01.Februar 2022)
16:15 - 17:15
Di 3.3
Making your Bureaucracy Value Stream Lean and Automated
Making your Bureaucracy Value Stream Lean and Automated
In today’s software-driven world, the integrity of software assets isn’t just a regulatory and compliance requirement, it’s critical for maintaining trust and avoiding irreparable damage to your brand and reputation. We found that Compliance, Software Chain of custody and in-App Security as well as API Security are seen as an overburdened bureaucracy. But they have to be part of your software value stream. So the question is, how they can be so lean, automated and optimized that they can contribute actual value inside your DevSecOps Approach?
Target Audience: Architects, Developers
Prerequisites: Project development experience
Level: Advanced
Extended Abstract
In today’s software-driven world, the integrity of software assets isn’t just a regulatory and compliance requirement, it’s critical for maintaining trust and avoiding irreparable damage to your brand and reputation.
The same also applies to Quality, In-App Security, and API Security in a more and more digitized world.
In a lot of case studies, we found that Compliance, Software Chain of custody and in-App Security as well as API Security are seen as an overburdened bureaucracy. But in all cases, they have to be part of your software value stream.
So the question is, how they can be so lean, automated, and optimized that they can contribute actual value inside your DevSecOps Approach? In the lecture we provide some key insight in how to solve that dilemma and integrate them into your day-to-day work.
Matthias Zieger ist seit fast 25 Jahren in der IT-Branche tätig – mit Rollen in Soft-wareentwicklung, Architektur, Testautomatisierung, Application Lifecycle Ma-nagement und DevOps für IBM, Borland, Microsoft und codecentric. In den letzten Jahren hat er große Unternehmen dabei unterstützt, ihre Software mit der Relea-se-Orchestrierung und Deployment-Automatisierung von XebiaLabs schneller in Produktion zu bringen – von klassischen Java EE-Umgebungen über Container und Cloud bis hin zu serverlosen Architekturen. Seit zwei Jahren bei Digital.ai hilft er großen Unternehmen, ihre Ziele der digitalen Transformation durch Value Stream Management schneller zu erreichen..
Matthias Zieger
, (Mittwoch, 02.Februar 2022)
14:30 - 15:30
Mi 9.3
DevSecOps – a Practitioner's View
DevSecOps – a Practitioner's View
How do you do DevSecOps in practice? What are relevant tools and practices? Based on his work as a consultant and as a member of the advisory board that publishes the Thoughtworks Technology Radar Erik will give an overview of tools and practices that have proven themselves in real-world use. And because security is now relevant at each step of the process, the scope of the talk is broad. It includes architecture, the software supply chain, fitness functions and how to implement them in a build pipeline, as well as runtime monitoring.
Target Audience: Architects, Developers, Ops
Prerequisites: Knowledge of continuous delivery and DevOps
Level: Advanced
Extended Abstract
Closer collaboration between developers and operations people brought businesses many benefits. It is also fair to say, though, that it created new headaches. Some practices, especially continuous deployments, forced us to rethink the traditional security sandwich, with conceptual work up-front and a pen test at the end. It was easy to sneak a “Sec” into DevOps, it was reasonably obvious to call for security to be “shifted-left”, but in practice this raised even more questions.
Based on his experience working as a consultant Erik will address these quesions. He will discuss practices like container security scanning, binary attestation, and chaos engineering, alongside examples of concrete tooling supporting these practices. In addition Erik will show how the concept of fitness functions, which have become popular in evolutionary approaches architecture, can be applied in the security domain.
Erik Dörnenburg ist Software-Engineer und leidenschaftlicher Technologe. Auf seiner inzwischen langen Reise durch die Tech-Branche ist Erik einer Fülle neuer Technologien begegnet. Dabei ist es ihm wichtig deren Potenzial zu bewerten und gleichzeitig bewährte Praktiken für die neuen Technologien zu adaptieren. Als Head of Technology bei Thoughtworks hilft er Kunden, ihre geschäftlichen Herausforderungen mit modernen Technologien, Plattformen und Praktiken zu lösen. Erik ist regelmäßiger Redner auf Konferenzen, hat an einigen Büchern mitgewirkt und unterhält mehrere Open Source Projekte. Er hat einen Abschluss in Informatik der Universität Dortmund und hat Computer Science und Linguistik am University College Dublin studiert.
Erik Dörnenburg
Erik Dörnenburg
Vortrag Teilen
18:30 - 20:00
Nmi 1
Moderne Web-Architekturen erfordern moderne Sicherheitsmaßnahmen
Moderne Web-Architekturen erfordern moderne Sicherheitsmaßnahmen
Im Web lauert eine Vielzahl von Sicherheitsgefahren. Deshalb sollten ein paar grundlegende Vorkehrungen getroffen werden: Angefangen bei der richtigen TLS-Konfiguration, über Schutzmaßnahmen wie dem Einrichten einer Content-Security-Policy und dem Überprüfen nachgeladener Ressourcen mittels Subresource Integrity, bis hin zur Absicherung von Cookies sowie dem Schicken oder Vermeiden bestimmter HTTP-Header. Welche grundlegenden Maßnahmen es zu beachten gilt und wie man diese umsetzt, erfahren Sie in diesem Vortrag.
Zielpublikum: Architekt:innen, Entwickler:innen
Voraussetzungen: Basiskenntnisse Web-Entwicklung
Schwierigkeitsgrad: Anfänger
Lisa Moritz ist Senior Consultant bei INNOQ. Ihre Schwerpunkte liegen in Web-Architekturen und der Programmierung mit Java sowie JavaScript. Sie ist sowohl im Backend als auch im Frontend unterwegs. Neben der Programmierung und Konzipierung von Architekturen engagiert sie sich im Bereich Sketchnotes und macht seit Juni 2020 regelmäßig Sketchnotes für den Podcast Software-Architektur im Stream. Dort steht sie auch gelegentlich als Gast oder Interviewer vor der Kamera.
Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.
Lisa Moritz,
Christoph Iserlohn
Lisa Moritz,
Christoph Iserlohn
Vortrag Teilen
, (Donnerstag, 03.Februar 2022)
09:00 - 10:45
Do 9.1
OpenTelemetry – Ein offener Standard für den Durchblick in Anwendungslandschaften
OpenTelemetry – Ein offener Standard für den Durchblick in Anwendungslandschaften
Um in verteilten Anwendungslandschaften den Überblick zu behalten, gibt es schon seit einiger Zeit unterschiedliche Ansätze, um Daten wie Metriken, Traces und Logs zentralisiert zu analysieren. Die Uneinheitlichkeit machte es bislang aufwendig, wirklich alle Komponenten einfach zu berücksichtigen. Im Jahr 2019 wurde unter dem Dach der Cloud Native Computing Foundation (CNCF) OpenTelemetry als herstellerneutrales, quelloffenes Ökosystem mit dem Ziel geschaffen, die Erfassung und Übertragung von Telemetriedaten zu standardisieren.
Zielpublikum: Architects, Developers, Process Owners, DevOps, Decision Makers
Voraussetzungen: Keine
Schwierigkeitsgrad: Anfänger
Extended Abstract
In dieser Session werden die Spezifikation von OpenTelemetry und deren Bestandteile kurz vorgestellt. Es wird gezeigt, wie eine Integration bei Java-Anwendungen und die Verknüpfung mit gängigen Bibliotheken (Drop-In Instrumentation) erfolgt, so dass sich am Ende ein Business-Prozess bzw. die Anfrage eines Nutzers systemübergreifend verfolgen lässt. Die Beispiele lassen sich auf die z. Zt. zehn weiteren unterstützten Programmiersprachen übertragen. Zuletzt wird auf die Interaktion mit Cloud-Infrastruktur eingegangen, da OpenTelemetry sich insbesondere auf cloud-native Anwendungen fokussiert.
Dennis Kieselhorst ist Solutions Architect bei Amazon Web Services (AWS). Er hat 15 Jahre Erfahrung mit Java und verteilten, heterogenen Systemlandschaften. Dennis unterstützt verschiedene Open-Source-Projekte und ist Committer/PMC-Mitglied bei der Apache Software Foundation. Er wirkt in den Organisationskomitees der Java User Group (JUG) Bremen-Oldenburg und des Java Forum Nord mit.
Cloud Security in Action! – ein Finanzdienstleister geht in die Cloud
Cloud Security in Action! – ein Finanzdienstleister geht in die Cloud
In diesem Vortrag berichtet die SüdLeasing - eine 100%ige Tochter einer Landesbank - von ihrem Weg von der “Legacy-IT” zur modernen cloud-basierten Umgebung. Aufgrund der Sensitivität der Daten lag von der ersten Sekunde ein besonderer Fokus auf dem Thema Cloud Security.
Business Continuity und Disaster Recovery wurden voll automatisiert mit Hilfe von Terraform, Access Control Lists und Microsoft Azure aufgebaut.
Zielpublikum: Architekt:innen, Entwickler:innen, Manager
Voraussetzungen: Keine
Schwierigkeitsgrad: Anfänger
Extended Abstract
Die Digitalisierung traditioneller Unternehmen und damit meist zwingend verbundene Modernisierung der IT macht auch vor dem Sektor der Finanzdienstleister nicht Halt.
In diesem Vortrag berichtet die SüdLeasing - eine 100%ige Tochter einer Landesbank - von ihrem Weg von der “Legacy-IT” zur modernen cloud-basierten Umgebung. Aufgrund der Sensitivität der Daten lag von der ersten Sekunde ein besonderer Fokus auf dem Thema Cloud Security.
Hier berichten Tamira Horn und Thorsten Jakoby von der Reise eines BaFin regulierten Finanzdienstleisters in die Cloud. Statt "das sichern wir durch eine Firewall und Netzwerke", wurden Multi-Tenant-Zero-Trust-Architekturen aufgebaut.
Business Continuity und Disaster Recovery wurden voll automatisiert mit Hilfe von Terraform, Access Control Lists und Microsoft Azure aufgebaut.
Wir zeigen mit Beispielen und Demos, wie wir es technisch umgesetzt haben, nicht das Rechenzentrum in die Cloud zu migrieren, sondern eine sichere und flexible Plattform zu designen, um uns auf den Weg in die Cloud vorzubereiten.
Thorsten Jakoby ist Consultant für IT-Architekturen und Cloud Migrationen bei Novatec. Aktuell ist er als Cloud Security Architect für eine Cloud Migration bei einem BaFin regulierten Kunden im Einsatz. Mit seinen mehr als 10 Jahren Erfahrung im Bereich der verteilten Anwendungen hilft Thorsten Kunden Cloud Architekturen zu bauen, und führt Studenten in die Welt der IT & Cloud ein. Vor seiner Rolle bei Novatec führte er ein auf Cloud basiertes Startups spezialisiertes Unternehmen.
Neben seiner Rolle als Consultant spricht er häufig auf Meetups und Konferenzen (wie Cloud Foundry Summit EU, W-JAX, OOP, JCON, IT-Tage, Frankfurter Entwicklertag) und hält dort ebenso Workshops
Tamira Horn arbeitet als IT Security-Administratorin bei SüdLeasing.
Typischerweise zählt die Absicherung der unternehmenseigenen IT-Infrastruktur zu ihren täglichen Aufgaben.
Als Administratorin für komplexe Firewall-Systeme, Endpoint Security, SIEM, als auch Network Segregation kennt sie die Infrastruktur bis zu kleinsten Details.
Seit SüdLeasing mit einer Cloud-Initiative begonnen hat, findet sich Tamiras Interesse besonders stark im Umfeld der Cloud Security wieder. Für verschiedene Teams bildet sie die etablierte Brücke zwischen Datacenter und Cloud Security.
Dennis Kieselhorst
Thorsten Jakoby,
Tamira Horn
Dennis Kieselhorst
Vortrag Teilen
Thorsten Jakoby,
Tamira Horn
Vortrag Teilen
14:30 - 15:30
Do 4.3
Der menschliche Faktor – warum Dinge schiefgehen
Der menschliche Faktor – warum Dinge schiefgehen
"Ursache war menschliches Versagen" hört man oft, wenn etwas schiefgeht. Aber was bedeutet das? Hat der Bediener geschlafen? War er vielleicht überfordert mit dem System? Muss und kann man den Menschen besser ausbilden oder auswählen? Ist "die Organisation" schuld? Oder war das System unglücklich designt? Muss man Systeme anders gestalten? Gibt es so etwas wie ein 100 % sicheres System? Was sind überhaupt Systeme? Nur technisches Gerät? Oder auch komplexe Gebilde wie Software oder die Gesellschaft? Fragen über Fragen. Im Vortrag Ideen für Antworten.
Zielpublikum: Jeder, der sich für technische Systeme (auch) jenseits der Software interessiert
Voraussetzungen: Keine
Schwierigkeitsgrad: Anfänger
Markus Völter ist freiberuflicher Berater zu (domänenspezifischen) Sprachen und Entwicklungswerkzeugen sowie den Systemarchitekturen und Prozessanpassungen um sie in Produkte/Projekte zu integrieren.
Markus Völter
Markus Völter
Vortrag Teilen
17:00 - 18:00
Do 5.4
Security Engineering for Machine Learning
Security Engineering for Machine Learning
Machine Learning appears to have made impressive progress on many tasks from image classification to autonomous vehicle control and more. ML has become so popular that its application, though often poorly understood and partially motivated by hype, is exploding. This is not necessarily a good thing. Systematic risk is invoked by adopting ML in a haphazard fashion. Understanding and categorizing security engineering risks introduced by ML at design level is critical. This talk focuses on results of an architectural risk analysis of ML systems.
Target Audience: Architects, Technical Leads, and Developers and Security Engineers of ML Systems
Prerequisites: Risk Managers, Software Security Professionals, ML Practitioners, everyone who is confronted by ML
Level: Advanced
Extended Abstract
Machine Learning appears to have made impressive progress on many tasks including image classification, machine translation, autonomous vehicle control, playing complex games including chess, Go, and Atari video games, and more. This has led to much breathless popular press coverage of Artificial Intelligence, and has elevated deep learning to an almost magical status in the eyes of the public. ML, especially of the deep learning sort, is not magic, however. ML has become so popular that its application, though often poorly understood and partially motivated by hype, is exploding. In my view, this is not necessarily a good thing. I am concerned with the systematic risk invoked by adopting ML in a haphazard fashion. Our research at the Berryville Institute of Machine Learning (BIIML) is focused on understanding and categorizing security engineering risks introduced by ML at the design level. Though the idea of addressing security risk in ML is not a new one, most previous work has focused on either particular attacks against running ML systems (a kind of dynamic analysis) or on operational security issues surrounding ML. This talk focuses on the results of an architectural risk analysis (sometimes called a threat model) of ML systems in general. A list of the top five (of 78 known) ML security risks will be presented.
Gary McGraw is co-founder of the Berryville Institute of Machine Learning. He is a globally recognized authority on software security and the author of eight best selling books on this topic. His titles include Software Security, Exploiting Software, Building Secure Software, Java Security, Exploiting Online Games, and 6 other books; and he is editor of the Addison-Wesley Software Security series. Dr. McGraw has also written over 100 peer-reviewed scientific publications. Gary serves on the Advisory Boards of Irius Risk, Maxmyinterest, Runsafe Security, and Secure Code Warrior. He has also served as a Board member of Cigital and Codiscope (acquired by Synopsys) and as Advisor to CodeDX (acquired by Synopsys), Black Duck (acquired by Synopsys), Dasient (acquired by Twitter), Fortify Software (acquired by HP), and Invotas (acquired by FireEye). Gary produced the monthly Silver Bullet Security Podcast for IEEE Security & Privacy magazine for thirteen years. His dual PhD is in Cognitive Science and Computer Science from Indiana University where he serves on the Dean’s Advisory Council for the Luddy School of Informatics, Computing, and Engineering.
Gary McGraw
Gary McGraw
Vortrag Teilen