Konzeptionelle Sicherheitsprobleme in DevOps-Prozessen

Beim Aufbau und Betrieb von DevOps-Infrastruktur und -Prozessen finden mögliche konzeptionelle Sicherheitsprobleme der Build-Pipelines selbst oft wenig Beachtung.

Dieser Vortrag behandelt den besonderen Schutzbedarf von DevOps-Prozessen, mögliche Sicherheitsrisiken und entsprechende Gegenmaßnahmen. Dabei geht es u.a. um folgende Fragen:

* Welche Optionen gibt es, um z.B. Passwörter der Build-Pipeline zur Verfügung zu stellen, ohne sie im zentralen Code-Repository zu exponieren?
* Welche Strategien können das Vertrauen in Quellen (Code- und Container-Repos, ...), sowie kompilierte Artefakte stärken?
* Welche Defense-in-Depth-Mechanismen sind dabei verhältnismäßig?

Zielpublikum sind Entwickler und Architekten mit Bezug zu DevOps, bzw. generell automatisierten Software-Build-Prozessen.

Vorkenntnisse

Grobe Einblicke in gängige Software-Build-Pipelines (z.B. Jenkins) sind von Vorteil.

Lernziele

* Überblick erhalten über typische, konzeptionelle Sicherheitsprobleme in Build-Pipelines haben (z.B. eine unsichere Speicherung und Einbindung von Credentials)
* Lösungsoptionen kennen lernen, wie man solche Probleme in eigenen DevOps-Prozessen vermeiden kann

 

Speaker

 

Björn Kirschner
Björn Kirschner ist Informationssicherheitsberater bei mgm security partners. Er blickt auf viele Penetrationstests unterschiedlichster Technologien zurück (Webapplikationen, mobile Apps, Netzwerkinfrastruktur, Server …). Neben Seminaren führt er Source-Code-Analysen durch und berät Kunden in vielen Belangen der Webanwendungssicherheit, vor allem im Rahmen eines sicheren Entwicklungsprozesses.

Gold-Sponsoren

WIBU Systems
Snyk
Palo Alto Networks
Xanitizer


heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden