In diesem Talk werden anhand eines Reifegradmodells Möglichkeiten aufgezeigt, Security-Checks stufenweise innerhalb eines agilen Projektes einzuführen. In ansteigenden Aufwandsklassen werden Strategien zur tieferen Integration von Open-Source-Security-Werkzeugen in die Build-Kette agiler Webprojekte definiert: Sie lernen die grundlegenden Konzepte der vier Achsen „Dynamische Tiefe“, „Statische Tiefe“, „Intensität“ und „Konsolidierung“ kennen und können nach Einordnung der eigenen Projekte die nächsten Schritte in Richtung Automation ableiten.

Zielpublikum: Architekten, Entwickler, technische Projektleiter
Voraussetzungen: Grundlagen agiler Build-Ketten und DevOps-Konzepte zur Automation
Schwierigkeitsgrad: Fortgeschritten


Extended Abstract
Dieser Talk präsentiert die grundlegenden Konzepte einer Integration von Security-Checks in einer automatisierten Build-Kette, ohne zu sehr auf die technischen Details einzugehen. Vielmehr werden anhand eines Reifegradmodells die einzelnen Stufen aufgezeigt, wie tiefgehend heute schon Security-Checks in die Build-Kette integrierbar sind und wo hierbei die zu überwindenden Hürden liegen. Ziel der Integration von Werkzeugen zur statischen und dynamischen Analyse ist es, bereits vor dem Penetrationstest einer Webanwendung viele mögliche Sicherheitslücken automatisiert zu finden, um auch bei agilen Entwicklungen mit kurzen Rollout-Zyklen dennoch ein Mindestmaß an Sicherheit gewährleisten zu können. Zusätzlich widmet sich die Achse „Konsolidierung“ dem Schließen des Feedback-Loops in Richtung Entwicklung, sodass die Ergebnisverwertung der Werkzeugausgaben auch eine stufenweise Verbesserung in einem Projekt erfährt.