Agile Threat Modeling im DevSecOps-Sinne

Wie können wir uns der gerade in größeren Unternehmen oftmals vorhanden Herausforderung stellen, Threat Modeling in agilen Projekten lebendig und kontinuierlich stattfinden zu lassen?

Um agiles Bedrohungsmodellieren zu erreichen, muss etwas kontinuierliches her, etwas wie "Threat-Model-as-Code" im DevSecOps-Sinne.

Sehen Sie im Vortrag die Ideen hinter diesem Ansatz: entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus, ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen, in IDEs editierbare und in Git diffbare Modelle, automatisch regelbasiert abgeleitete Risiken sowie grafische Diagramm- und Reportgenerierung inkl. Mitigationsmaßnahmen.

Vorkenntnisse

Teilnehmer, die bereits Threat-Modeling-Vorkenntnisse mitbringen, können durch diesen Talk noch mehr Praxiswissen aufbauen und neues Open-Source-Tooling in diesem Bereich kennen lernen.

Lernziele

Lernziel des Talks ist es, eine Vorgehensweise zur kontinuierlichen Bedrohungsmodellierung in agilen Projekten kennenzulernen. Es wird neben den Vor- und Nachteilen eines solchen Ansatzes auf Projekt- und Unternehmensebene auch Praxiswissen vermittelt, wie dies mittels Open-Source-Werkzeugen bereits heute effizient möglich ist.

 

Speaker

 

Christian Schneider
Christian Schneider (@cschneider4711) ist als freiberuflicher Softwareentwickler, Whitehat-Hacker und Trainer tätig. Er unterstützt Unternehmen im Bereich der Web Security durch Penetrationstests und Security Architecture Consulting sowie Teams bei der Einführung von DevSecOps. In dieser Rolle ist er regelmäßig als Trainer tätig, spricht auf Konferenzen und bloggt auf www.Christian-Schneider.net.

Gold-Sponsoren

WIBU Systems
Snyk
Palo Alto Networks
Xanitizer


heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden