Sichere Software agil entwickeln mit OWASP SAMM 2.0

Die Version 2.0 von OWASP SAMM – einem der Leuchtturmprojekte des Open Web Application Security Project – wurde im Januar 2020 veröffentlich. Dieser Standard erlaubt es Unternehmen nicht nur, den Reifegrad ihrer Softwareentwicklung hinsichtlich Security zu messen, sondern diesen auch iterativ zu verbessern.

OWASP SAMM definiert in Summe 30 essenzielle Security-Aktivitäten für die Bereiche Governance, Design, Implementation, Verification und Operation. Basierend auf einem detaillierten Fragenkatalog wird es Unternehmen ermöglicht, ihren individuellen Reifegrad nicht nur pro Einzelaktivität, sondern auch hochaggregiert auf die jeweiligen Bereiche sowie den gesamten
Entwicklungsprozess zu ermitteln. Zusätzlich zur Bewertung der Ist-Situation kann auch eine Auswertung der Reifegradeentwicklung über die Zeit einfach dargestellt werden. Dies erlaubt die Visualisierung des Projektfortschritts und einen Abgleich mit den angestrebten Meilensteinen.

Herr Kerbl berichtet von seiner langjährigen Erfahrung mit OWASP SAMM und teilt Tipps und Tricks mit den Zuhörern, wie die zugrundeliegenden Security Aktivitäten erfolgreich in einen etablierten Softwareentwicklungsprozess eingeführt werden können. Dabei werden auch die Fallstricke beleuchtet, die gerne in der Praxis übersehen werden und den Projekterfolg gefährden können.

Vorkenntnisse

Empfohlen werden Kenntnisse im Bereich der Softwareentwicklung. Methodenkenntnisse in Bezug auf DevOps und Agile Entwicklung helfen dabei, den Details des Vortrags zu folgen. Es können aber auch Entwickler im Umfeld klassischer Entwicklungsmethoden viel Wissen aus dem Vortrag mitnehmen und für sich nutzen.

Lernziele

Die Teilnehmer lernen den Standard OWASP SAMM kennen und verstehen, wie die zugrunde liegende Methodik angewendet werden kann, um Security-Aktivitäten in den eigenen Entwicklungsprozess zu integrieren. Darüber hinaus erlernen sie anhand konkreter Erfahrungsberichte, auf welche Bereiche sie sich fokussieren sollten und welche typischen Fallen zu vermeiden sind. Der Vortrag ist somit ein guter Einstieg in das Thema Sichere Softwareentwicklung.

 

Speaker

 


Thomas Kerbl ist seit über 15 Jahren als Security-Berater bei SEC Consult Unternehmensberatung GmbH tätig. In seiner Rolle als Principal Security Consultant und Teamleiter führt er nicht nur ein Expertenteam, sondern ist nach wie vor auch selbst in Kundenprojekten maßgeblich involviert. Seine aktuellen Schwerpunkte im Unternehmen sind die Bereiche "Sichere Software-Entwicklung" und "Security-Architektur".

Gold-Sponsoren

WIBU Systems
Xanitizer

Silber-Sponsoren

Cologne Intelligence
Wings-Fernstudium

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden