CONFERENCE PROGRAM OF 2021

Please note:
On this site, there is only displayed the English speaking sessions of the OOP 2021 Digital. You can find all conference sessions, including the German speaking ones, here.

Theme: Security

Sort by Tracks
Sort by Themes
Alle ausklappen
  • Monday
    08.02.
  • Tuesday
    09.02.
  • Thursday
    11.02.
, (Monday, 08.February 2021)
14:00 - 17:00
Mo 9
(AUSGEBUCHT) "Free" DevSecOps mit Open-Source-Tools
(AUSGEBUCHT) "Free" DevSecOps mit Open-Source-Tools

In diesem Tutorial wird gezeigt, wie man das Sec in seinen DevOps-Workflow integrieren kann. Am Beispiel einer einfachen vorbereiteten App werden wir unter Zuhilfenahme von Open-Source-Tools bekannte Sicherheitslücken in Drittanbieter-Bibliotheken und Containern suchen, zusätzlich werden wir auch die APIs der Anwendung mit einem dynamischen security-scanner angreifen, der einfache Angriffe ausführen wird.

Weiterhin werden die Teilnehmenden sich damit beschäftigen, wie sich eine CI-Pipeline mit diesen Techniken erweitern lässt.

Maximale Teilnehmerzahl: 10

Benötigt wird ein Laptop mit folgender Software:

  • Docker
  • Java
  • Nutzung von maven oder gradle (muss nicht installiert sein, es sollte aber Zugriff auf maven central erlaubt sein)

Zielpublikum: Entwickler:innen
Voraussetzungen: Kenntnisse von Java und maven/gradle. Wissen über Continuous Integration hilfreich
Schwierigkeitsgrad: Fortgeschritten

Extended Abstract:
Im Tutorial soll vermittelt werden, dass man auch ohne viel Sicherheits-Erfahrung durch (automatisiertes) Tooling schon während der Entwicklungszeit, aber auch im Betrieb, viel über die eigene Anwendung und deren Schwachstellen lernen kann, aber auch Prozesse erarbeiten muss, um diese zu beheben.

Beispiele werden anhand einer vorgegebenen Java-Anwendung erarbeitet, die auf Basis von Springboot, maven/gradle gebaut wird und mit REST-APIs arbeitet.

Wir werden uns mit Dependency-Check beschäftigen, um bekannte Sicherheitslücken in der Anwendung zu finden und zu behandeln, für Container werden wir clair oder trivy kennenlernen.

Um auch zur Laufzeit der Anwendung Angriffsmöglichkeiten zu erkennen und vorzubeugen, wird die API der Anwendung mithilfe von ZAProxy angegriffen

Die Integration in die vorhandene CI-Pipeline zeigt auch die Automatisierbarkeit, bringt aber nicht nur Vorteile mit sich, "free" gibts eben nicht "gratis".

In einer abschließenden Diskussion möchten wir zusammen mögliche Einschnitte, aber auch Verbesserungspotenzial und mögliche Prozessänderungen besprechen.

Für den Workshop sollte ein Rechner mit lokalem Docker daemon vorhanden sein.

Christian Kühn ist Softwareentwickler bei dmTECH
Er freut sich über das beste aus den beiden Welten Development und Operations und beschäftigt sich mit Java, Cloud-Infrastruktur und Sicherheitsthemen. Er organisiert das DevOps Meetup Karlsruhe und twittert unter: @CYxChris
Christian Kühn
Christian Kühn
Talk: Mo 9
Themen: Security
flag EVENT MERKEN

Vortrag Teilen

, (Tuesday, 09.February 2021)
14:00 - 14:45
Di 3.2
Sichere Speicherung kritischer Daten in der Cloud
Sichere Speicherung kritischer Daten in der Cloud

Nicht nur regulatorische Anforderungen, auch die geänderte Bedrohungslage in der Cloud sind bei der Speicherung und Verarbeitung kritischer Daten eine Herausforderung für Architektur und Technik.

Wir diskutieren verschiedene Architekturen und Technologien, wie sich Defense-in-Depth, Mandantentrennung, Absicherung von Data-at-Rest und Data-in-Transit, Daten-Autonomie und Retention Policies umsetzen lassen, sprechen über Nachvollziehbarkeit und Separation-of-Concerns und teilen Erfahrungen aus der Praxis.

Zielpublikum: Architekt:innen, Entwickler:innen
Voraussetzungen: Ein grundlegendes Verständnis für Architektur ist hilfreich, aber keine Voraussetzung
Schwierigkeitsgrad: Anfänger

Andreas Zitzelsberger ist Entwickler und Architekt aus Leidenschaft und arbeitet als Technischer Geschäftsbereichsleiter bei QAware. Seine Schwerpunkte sind Cloud und Cloud Native Security.
Andreas Zitzelsberger
Andreas Zitzelsberger
Talk: Di 3.2
flag EVENT MERKEN

Vortrag Teilen

, (Thursday, 11.February 2021)
17:00 - 18:00
Do 9.4
Agile Threat Modeling: Bedrohungsmodellierung als Teil von DevSecOps
Agile Threat Modeling: Bedrohungsmodellierung als Teil von DevSecOps

Agile Software-Entwicklung und kontinuierliches Threat Modeling: Geht das? Ja, und zwar ganz getreu dem DevSecOps-Sinne mittels “Threat-Model-as-Code”!

Sehen Sie in dem Talk die Ideen hinter diesem Ansatz: Entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus, ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen: In IDEs editierbare und in Git diffbare Modelle, interaktive Modellerstellung, automatisch regel-basiert abgeleitete Risiken sowie grafische Diagramm- und Reportgenerierung inkl. Mitigationsmaßnahmen.

Zielpublikum:
Architekt:innen, Entwickler:innen, Security Consultants
Voraussetzungen: Architekturerfahrung & Security-Interesse
Schwierigkeitsgrad: Fortgeschrittee

Extended Abstract:
Nachdem die Herausforderung, Security in agile Projektmethoden und DevOps-Verfahren zu integrieren, mittels DevSecOps angegangen wurde, steht direkt das nächste Integrationsproblem vor der Tür: Bedrohungsmodellierung!

Wenn wir durch Pipeline-as-Code zuverlässig, reproduzierbar und jederzeit schnell unsere Software bauen können und nun auch durch passende Werkzeuge Securityscans automatisiert haben, wie können wir dann die Risikolandschaft unserer Projekte ebenfalls schnell erfassen?

Eigentlich geschieht so etwas in aufwendigen Workshops mit viel Diskussion sowie Modellarbeit am Whiteboard mit Kästchen, Pfeilen & Wölkchen. Diese Veranstaltungen sind durchaus sinnvoll und wichtig, da nur mit dieser Tiefe manche Bedrohungen in einer Architektur rechtzeitig erkannt werden. Schade nur, dass es meistens dann auch aufhört: Anstelle eines lebenden Modells entsteht ein langsam aber sicher erodierendes Artefakt.

Um diesem Verfallsprozess entgegenzuwirken, muss etwas Kontinuierliches her, etwas wie "Threat-Model-as-Code" im DevSecOps-Sinne. Sehen Sie in diesem Talk die Ideen hinter diesem Ansatz: Agiles und entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus — ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen.

Ergebnis? In Entwickler-IDEs editierbare und in Git diffbare Modelle, automatisch regel-basiert abgeleitete Risiken inklusive grafischer Diagramm- und Reportgenerierung mit Mitigationsmaßnahmen. Die Architektur ändert sich? Ein erneuter Lauf liefert die aktuelle Risikosicht …

Christian Schneider ist als freiberuflicher Whitehat Hacker, Trainer und Security-Architekt tätig. Als Software-Entwickler mit über 20 Jahren Erfahrung fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security. Er berät DAX-Konzerne und mittelständische Unternehmen im Bereich der sicheren Software-Entwicklung durch Security Architecture Consulting und Penetrationtesting. Sein aktuelles Lieblingsthema ist agiles Threat Modeling im Rahmen von DevSecOps.
Christian Schneider
Christian Schneider
flag EVENT MERKEN

Vortrag Teilen

back