Automatisierte Sicherheitstests: Stärken und Schwächen und wie man damit umgeht
In der agilen Entwicklung sind automatisierte Sicherheitstests unumgänglich. Techniken wie Source-Code-Analyse oder Dynamisches Testing haben dabei unterschiedliche Stärken und Schwächen.
In diesem Vortrag wird eine Methodik vorgestellt, die es sicherheitsaffinen Entwicklern ermöglicht zu bewerten, inwieweit die Testsysteme funktionieren und umfassend prüfen. Die Methode konzentriert sich auf das systematische Ermitteln von „blinden Flecken“. Die Zuordnung, welche Teile der OWASP Top Ten bzw. der API Security Top Ten automatisiert prüfbar sind, wird auch dargestellt. Außerdem wird erläutert, welche Szenarien nicht in den Stärken der Scanner fallen und wie Entwickler damit umgehen können.
Vorkenntnisse
Der Vortrag ist vor allem für die Entwickler geeignet, die bereits automatisierte Sicherheitstests durchführen oder dies für die Zukunft planen.
Lernziele
Sicherheitsaffine Entwickler/-innen lernen die Stärken und Schwächen der Testautomatisierung im Sicherheitsbereich kennen. Außerdem wird ausführlich erklärt, wo die blinden Flecken der Scanner zu finden sind. Zusätzlich wird gezeigt, welche Prüfungen hervorragend durch selbst entwickelte Testschritte umsetzbar sind.