Automatisierte Sicherheitstests: Stärken und Schwächen und wie man damit umgeht

In der agilen Entwicklung sind automatisierte Sicherheitstests unumgänglich. Techniken wie Source-Code-Analyse oder Dynamisches Testing haben dabei unterschiedliche Stärken und Schwächen.

In diesem Vortrag wird eine Methodik vorgestellt, die es sicherheitsaffinen Entwicklern ermöglicht zu bewerten, inwieweit die Testsysteme funktionieren und umfassend prüfen. Die Methode konzentriert sich auf das systematische Ermitteln von „blinden Flecken“. Die Zuordnung, welche Teile der OWASP Top Ten bzw. der API Security Top Ten automatisiert prüfbar sind, wird auch dargestellt. Außerdem wird erläutert, welche Szenarien nicht in den Stärken der Scanner fallen und wie Entwickler damit umgehen können.

Vorkenntnisse

Der Vortrag ist vor allem für die Entwickler geeignet, die bereits automatisierte Sicherheitstests durchführen oder dies für die Zukunft planen.

Lernziele

Sicherheitsaffine Entwickler/-innen lernen die Stärken und Schwächen der Testautomatisierung im Sicherheitsbereich kennen. Außerdem wird ausführlich erklärt, wo die blinden Flecken der Scanner zu finden sind. Zusätzlich wird gezeigt, welche Prüfungen hervorragend durch selbst entwickelte Testschritte umsetzbar sind.

 

Speaker

 

Christoph Haas
Christoph Haas ist Geschäftsführer der Securai GmbH, die sich der Applikationssicherheit verschrieben hat. Seit über zehn Jahren ist er im Bereich der IT-Security und dort als Penetrationstester und Berater tätig. Er hat außerdem mehrere Fachartikel, unter anderem in der iX, veröffentlicht und bloggt unter //secur.ai/blog über sichere Entwicklung.

Gold-Sponsoren

WIBU Systems
Xanitizer

Silber-Sponsoren

Cologne Intelligence
Wings-Fernstudium

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden