Automatische Security-Tests in Continuous Integration

Fast täglich liest man von Sicherheitsproblemen in (Web-)Anwendungen, zum Teil mit verheerenden Auswirkungen für Firmen und Verbraucher. Zum Schutz sensibler Daten müssen wir in der Entwicklung und im Betrieb stets sicherstellen, dass wir auf bekannte Schwachstellen reagieren und Systeme und Software auf dem aktuellsten Stand halten können.

Um möglichst schnelles Feedback über aktuelle Probleme zu bekommen, empfiehlt es sich, automatisiert nach bekannten Schwachstellen zu suchen.

Im Vortrag mit Live-Demo werden mehrere Open-Source-Frameworks vorgestellt, mit deren Hilfe man automatisiert Schwachstellen in (java-) Dependencies, Container-Images und Webapplikationen finden kann.

Vorkenntnisse

Grundlegende Kenntnisse von Continuous Integration

Lernziele

* Die Zuhörer lernen, dass man sich und seine Software automatisiert absichern kann, ohne ständig aktiv irgendwelche Tests auszuführen oder News bzw. aktuelle Schwachstellen zu verfolgen.
* So wie fachliche und integrative Softwaretests sollen auch Sicherheitstests eine Grundabsicherung bieten und "nebenbei" ohne aktive Teilhabe des Entwicklers laufen.

 

Referent

 

Christian Kühn Christian Kühn ist Senior-Systementwickler und Berater und "auf dem Weg von Ops zu Dev in der Mitte hängengeblieben!" Außerdem ist er Mitorganisator des DevOpsMeetup Karlsruhe, hält er Vorträge und schreibt Artikel zu den Themenbereichen DevOps, Cloud und Sicherheit.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsor

RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden