Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 16.-18. Oktober 2018

heise devSec 2018 » Programm »

// 2017: OWASP Top 10 und OWASP-Perlen

Websoftware gehört die Welt, sie läuft im Browser, auf dem Server oder auf dem zirka 5 Zoll großen tragbaren Computer, mit dem man auch telefonieren kann – wenn es sein muss. Sicherheit bei der allgegenwärtigen Software war lange Zeit eher dem Zufall bzw. allein den Fähigkeiten der Entwickler oder kopierten Codefragmenten von Stackoverflow et al. überlassen.

Das OWASP-Projekt (Open Web Application Security) hat sich in den vergangenen Jahren zu der (!) Institution gemausert, die nicht nur kostenlos, sondern nach Open-Source-Lizenzen fundiertes Wissen, Software und mehr zur Verfügung stellt. Eines der Flagschiff-Projekte ist die OWASP-Top-10-Liste, die 2017 in der sechsten Inkarnation zur Verfügung steht.

Der Vortrag erklärt die Grundlagen der OWASP Top 10, zeigt, was sich geändert hat, wozu das Dokument benutzt werden soll und wo dessen Grenzen sind.

Softwaresicherheit sollte jedoch keinesfalls bei den OWASP Top 10 aufhören. Es gibt viele weitere OWASP-Projekte, die sich an jeden mit Sicherheit Befassten wenden, sei es Entwickler, Manager oder Pentester. Dieser zweite Teil des Vortrags stellt kurz eine handverlesene Auswahl von Projekten vor, die es sich lohnt, näher anzuschauen.

Vorkenntnisse
Wenig. Dies ist eher ein Grundlangenvortrag, der sich an Entwickler, Softwarearchitekten und auch Manager bzw. Berater wendet.

Lernziele
Übesicht über die OWASP Top 10 und Projekte, die es sich auf jeden Fall lohnt anzuschauen.

// Dirk Wetter Dirk Wetter

ist selbständiger IT-Sicherheitsberater und fast ein OWASP-Veteran. Er organisierte eine nationale und eine europäische OWASP-Konferenz und leistete viele weitere Beiträge zu OWASP. Er benutzt, wenn es irgendwie geht, Open Source, lange sogar, bevor es Linux oder den Begriff OSS gab. In seinem Tagesjob führt er Sicherheitsüberprüfungen, vulgo Pentests, durch (Netze, Systeme, Webapplikationen), gibt Workshops oder Trainings, liefert technische Konzepte, und wenn das ihm zu langweilig ist, betätigt er sich als ISO- oder als Projektmanager IT-Sicherheit. Er ist Initiator des leicht verrückten, aber durchaus brauchbaren Projektes testssl.sh, was u.a. mit Bash Sockets die Server-Verschlüsselung durchleuchtet.