Thema: Security
- Montag
06.02. - Dienstag
07.02. - Mittwoch
08.02. - Donnerstag
09.02.
This highly interactive workshop is all about software architecture - with Spring Boot, the Java microservice framework. Using an example application, we will discuss and try out the following topics in code:
- REST API design
- Hexagonal architecture
- Bean validation
- Single sign-on with Keycloak
- Role-based security
- Optimistic locking with ETags
- OWASP dependency check
- Structured JSON Logging
- Error handling
- Integration tests with Cucumber
- Architecture tests with ArchUnit
- Local deployment with Docker
- Reverse proxy with NGINX
Please install the following software before the workshop (if not already available):
- Java 17+
- Gradle 7.3+
- Docker 19+
- git
- an IDE of your choice (like IntelliJ IDEA)
On Windows, we also highly recommend you install the Windows Subsystem for Linux 2+.
Target Audience: Software Architects, Software Engineers, Java Developers
Prerequisites: Basic knowledge in Java, Interest in software architecture
Level: Advanced
Extended Abstract:
Prerequisites:
This workshop is highly interactive. You will benefit greatly from trying it out for yourself as well.
Please install the following software before the workshop (if not already available):
- Java 17+
- Gradle 7.3+
- Docker 19+
- git
- an IDE of your choice (like IntelliJ IDEA)
On Windows, we also highly recommend you install the Windows Subsystem for Linux 2+.
The example application "Chameleon" that will be used in this workshop has been designed as an educational example project for learning the basics of the Spring Boot ecosystem. But project "Chameleon" tries to be more than just a simple "hello world". It has all the needed parts in place to be as close to a "real world" production-ready software as possible.
Project "Chameleon" currently contains the following features:
General
- Backend with Spring Boot
- Yaml configuration file
- Hexagonal architecture
- Build with Gradle
- Local deployment with Docker
- Reverse proxy with NGINX
REST API
- Definition of RestController with GET, POST, DELETE and PATCH
- Description of REST API with OpenAPI
- Swagger UI
- Dtos
- Model mapper
- Bean validation
- Global error handler
- Local error handler
- Request ids
- Optimistic locking with ETags
Database
- Storage in relational database with PostgreSQL
- JPA, JpaRepository (Spring Data)
- Database migration with Flyway
Security
- Integration of SSO (single sign-on) with Keycloak
- Role-based security (JSR250)
- OWASP dependency check
Logging
- JSON logging
- Structured logging
- Logging of request ids
- Logging of user and roles
Testing
- Unit tests with JUnit 5
- Assertions with Google Truth
- Architectural unit tests with ArchUnit
- Coverage report of unit tests with JaCoCo
- Integration tests with Cucumber
Dr. Christoph Ehlers is the Head of Software Engineering at ConSol. As a project lead, agile coach and software architect, he ensures the successful completion of IT projects. After studying computer science at the University of Passau, where he also earned his doctorate, Christoph Ehlers found his way to ConSol more than seven years ago. He is particularly interested in software architecture and databases. Caution: His enthusiasm for technology is contagious!
Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/christoph.ehlers
Immer häufiger werden Anwendungen auf einem Kubernetes-Cluster betrieben. Umso wichtiger ist die Absicherung gegen Angriffe von außen, aber auch innerhalb des Clusters.
Wir demonstrieren anhand von praktischen Beispielen, wie mit wenigen Schritten ein Cluster abgesichert werden kann. Ausreden, warum nicht mehr Sicherheit möglich ist, gibt es dann nicht mehr.
Zielpublikum: Entwickler:innen
Voraussetzungen: Grundkenntnisse in Kubernetes und Security, Projekterfahrung
Schwierigkeitsgrad: Fortgeschritten
Extended Abstract:
In den letzten Jahren hat sich Kubernetes als Plattform für Anwendungen etabliert. Es verspricht, das Deployment deutlich zu vereinfachen, birgt aber auf der anderen Seite eine höhere Komplexität.
Oft wird der Betrieb auf einem Kubernetes-Cluster als zusätzliche Aufgabe auf das Entwicklungsteam übertragen, ohne die entsprechende Expertise aufzubauen. Das Wissen um Kubernetes bleibt dann lückenhaft, das Management des Clusters steht nicht im Fokus. In der Konsequenz stehen viele Kubernetes-Cluster ungeschützt im Netz.
Im Vortrag konzentrieren wir uns auf den Aspekt der Sicherheit eines Kubernetes-Clusters gegen Angriffe von außen, aber auch innerhalb des Clusters. Dabei gehen wir Schritt für Schritt durch die verschiedenen Schichten und zeigen anhand praktischer Beispiele, mit welchen Maßnahmen der Cluster abgesichert werden sollte.
Dehla Sokenou fühlt sich in allen Phasen der Software-Entwicklung zu Hause, besonders im Testen. Bei WPS - Workplace Solutions ist sie als Test- und Qualitätsmanagerin und Software-Architektin tätig.
Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/dehla.sokenou
Adrian Metzner ist seit 2014 als Software-Entwickler unterwegs. Schwerpunkte sind dabei Sicherheit und DevOps. Bei WPS - Workplace Solutions ist er als Software-Architekt und Trainer für das ISAQB Cloud-Infra Modul tätig.
Ein Erfolgsmuster zur Umsetzung von DevOps ist Site Reliability Engineering (SRE). Sie fördert objektiv die Zusammenarbeit zwischen Teams in einem skalierenden Umfeld. Besonderheit: Die System-Zuverlässigkeit wird zum Nummer 1 Feature! In diesem Vortrag werden die SRE-Prinzipien erläutert und SRE-Praktiken veranschaulicht. Abgerundet wird der Vortrag durch die Veranschaulichung des Aufbaus von Betriebsmodellen mit SRE.
Zielpublikum: Architekt:innen, Entwickler:innen, Projektleiter:innen, Manager, Entscheider
Voraussetzungen: Grundkenntnisse in agilen Methoden und Betriebsmodellen
Schwierigkeitsgrad: Anfänger
Halil Hancioglu ist als Solution Architect für die OPITZ CONSULTING Deutschland GmbH tätig. Er verfügt über langjährige Erfahrung in der Erstellung von individuellen Enterprise-Applikationen und der Einführung von DevOps-Praktiken. Seine Stärken liegen in der Analyse und der Restrukturierung von Abläufen mit besonderem Fokus auf SRE, DevOps, Continuous Delivery und Infra-as-Code.
Vortrag Teilen
Vortrag Teilen
Zero Trust Architecture has become the norm for how to modernize IT security in an age of growing network complexity and fewer ways to define hard network boundaries. Today, APIs are a standard way of how organizations expose both technical and business capabilities. But what does it mean for an API to be "Zero Trust Ready"?
In this presentation we look at some of the general patterns that APIs need to follow for Zero Trust readiness. We also look at some concrete practices for how to follow those patterns in your own APIs and API landscape.
Target Audience: Architects, Developers, API Designers, API Program/Platform Managers, Security Leads
Prerequisites: Basic knowledge of API terminology
Level: Advanced
Liad is a technologist that specialises in digital transformation and innovations.
For years he has been guiding and assisting organisations through their digital transformation journey. Enabling them to make the necessary changes needed when integrating digital technology into all areas of the business, with the goal of driving operational efficiency and value to customers, whilst supporting them through the technological and cultural changes.
With a strong background in networking and cybersecurity, having worked with service providers, Content Delivery Network (CDN) companies and top security vendors.
He has been helping companies, mostly technology startups and FinTechs, to understand the value of their digital assets and then pivot towards a strategy that will best allow them to innovate whilst maintaining security and control over their data. Liad is Vice President Pre-Sales Consulting at Axway.
Vortrag Teilen
In der Vorweihnachtszeit 2021 wurden viele IT-Abteilungen von Zero-Day-Sicherheitslücken im weitverbreiteten Java-Logging-Framework Apache Log4j kalt erwischt. Diese Session fasst das Ereignis zusammen und sucht Parallelen zu ähnlichen Zero-Days. Hinweise zu proaktiven Maßnahmen helfen, zukünftig in ähnlichen Situationen schneller reagieren zu können. In diesem Zusammenhang wird u.a. auf Configuration Management und Infrastructure as Code nebst Automation eingegangen, aber auch auf Tools wie Web, DNS und Netzwerk-Firewalls.
Zielpublikum: Architekt:innen, Entscheider, Manager, IT-Sicherheitsbeauftragte
Voraussetzungen: Generelles Verständnis für IT-Sicherheitsherausforderungen bei Web-Anwendungen
Schwierigkeitsgrad: Fortgeschritten
Extended Abstract:
In der Vorweihnachtszeit wurden viele IT-Abteilungen von Sicherheitslücken im weitverbreiteten Java-Logging-Framework Apache Log4j kalt erwischt.
Diese Session fasst das Ereignis zusammen und beantwortet die folgenden Fragen, um zukünftig in ähnlichen Situationen schneller reagieren zu können:
• Welche Möglichkeiten bieten Web, DNS und Netzwerk-Firewalls, um eine Ausnutzung derartiger Lücken zu verhindern?
• Welche Tools kann ich nutzen, um bspw. mithilfe automatisierter Scans und Analysen des Netzwerkverkehrs festzustellen, welche Bestandteile meiner IT-Infrastruktur betroffen sind?
• Wie kann ich mit Legacy-Anwendungen umgehen, die ich nicht aktualisieren kann?
• Wie sollte ich mein Deployment und Betriebsabläufe modernisieren, um Patching zukünftig schneller realisieren zu können?
Automation in Verbindung mit Playbooks und Runbooks ist dabei ein Kernaspekt, um einen Incident Response-Prozess in einer großen IT-Landschaft skalieren zu können.
Dennis Kieselhorst ist Solutions Architect bei Amazon Web Services (AWS). Er hat 15 Jahre Erfahrung mit Java und verteilten, heterogenen Systemlandschaften. Dennis unterstützt verschiedene Open-Source-Projekte und ist Committer/PMC-Mitglied bei der Apache Software Foundation. Er wirkt in den Organisationskomitees der Java User Group (JUG) Bremen-Oldenburg und des Java Forum Nord mit.
Vortrag Teilen
Leider muss dieser Vortrag aus persönlichen Gründen kurzfristig abgesagt werden.
Das große Gefahrenpotenzial, das den meisten Webanwendungen inhärent ist, ist vielen Webentwickler:innen nicht bewusst. Per JavaScript hätte man z. B. auch Low Level Lücken wie Meltdown ausnutzen können.
Ohne entsprechende Sicherheits-Mechanismen von altbekannten wie der Same-Origin-Policy bis hin zu neuesten Entwicklungen wie Cross-Origin-Resource-/Cross-Origin-Embedder-Policy würde das garantiert im Security-GAU enden.
In dieser Nightschool lernen wir die verschiedensten Browser-Sicherheits-Mechanismen kennen und richtig zu nutzen.
Zielpublikum: Entwickler:innen, Architekt:innen
Voraussetzungen: Erfahrung in der Entwicklung und Architektur von Webanwendungen
Schwierigkeitsgrad: Fortgeschritten
Extended Abstract:
Diesen Mechanismen sind zwei Dinge gemein. Erstens müssen sie irgendwo implementiert werden. Das ist üblicherweise im Browser der Fall. Und zweitens können sie oft auf die ein oder andere Weise gesteuert werden. Von den Resource-Ownern und den Entwickler:innen.
Ohne ein Verständnis der aktuellen Sicherheitsmechanismen im Web ist eine Entwicklung von sicheren Webanwendungen praktisch nicht möglich. Gleichzeitig gibt es eine Vielzahl von Mechanismen, die sich teilweise überlappen oder gegenseitig beeinflussen, sodass es nicht einfach ist, hier den Überblick zu behalten.
In diesem Vortrag lernen wir in kleinen Demos die verschiedenen Mechanismen und die Möglichkeiten (z. B. über HTTP-Header), diese zu steuern, kennen. Und auch, ob und welche Bedeutung sie außerhalb des Browsers haben.
Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.
Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/Christoph.Iserlohn
Vortrag Teilen