Application Security aus Sicht von Entwickler und Angreifer

Mit modernen nativen Cloud-Technologien können Sie Anwendungen schnell entwickeln, bereitstellen und skalieren. Diese erhöhte Komplexität setzt Ihre Anwendung jedoch auch neuen Risiken und Schwachstellen aus. Jede Schicht Ihrer Cloud Native-Anwendung – von Ihrem Code über Abhängigkeiten von Drittanbietern bis hin zu Containern und Clustern – setzt Sie neuen Sicherheitsproblemen aus. Und wir zeigen Ihnen, wie einfach diese ausgenutzt werden können!

In dieser Live-Hacking-Session unter der Leitung von Mathias Conradt werden wir eine Anwendung wie ein Angreifer ausnutzen, um Bedrohungen, Schwachstellen und Fehlkonfigurationen aufzuzeigen, die in Cloud Native Apps am häufigsten vorkommen. Anschließend zeigen wir Ihnen, wie Sie Ihre Anwendung durch klare Abhilfemaßnahmen und Best Practices für jedes Angriffsszenario schützen können.

Vorkenntnisse

Die Besucher:innen benötigen nur allgemeine Software Entwicklungs-Kenntnisse in der Softwareentwicklung. Weiterführende Kenntnisse bzgl. der sicheren Softwareentwicklung unterstützen, sind jedoch keine Voraussetzung.

Lernziele


  • Schwachstellen erkennen im eigenen Code und in Open Source Libraries
  • Schwachstellen beheben (Entwicklersicht)
  • Schwachstellen ausnutzen (Angreifersicht)

Speaker

 

Mathias Conradt
Mathias Conradt bringt mehr als zwei Jahrzehnte Erfahrung in der Softwareentwicklung und im Projektmanagement mit, mit einem starken Fokus auf Open-Source-Technologien. Er leitet die Solutions-Engineering-Engagements von Snyk im DACH-Markt, wo er sich auf Anwendungssicherheit, DevSecOps und Cloud-Transformation konzentriert. Mathias ist ein AWS Certified Solutions Architect. Zuvor war Mathias Gastprofessor für Android-Entwicklung an der University of St. Joseph, Macau/China und leitete mehr als 15 Jahre lang sein eigenes Softwareentwicklungsunternehmen mit Niederlassungen in Deutschland, Hongkong und den USA, bevor er auf die Anbieterseite wechselte und in den Bereich Informationssicherheit ging.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden