Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 16.-18. Oktober 2018

heise devSec 2018 » Programm »

// Sichere Verwendung von Free und Open-Source-Software

Software wird nur selten "auf der grünen Wiese" entwickelt. Viele Software Entwickler sind heute "Komponisten", die aus existierenden Komponenten und eigenem Programmcode neue Softwarekompositionen schaffen.
Selbst wenn nur wenige Zeilen einer Anwendung selbst programmiert wurden, haftet der Entwickler für allen ausgelieferten Programmcode, d.h., er ist auch für alle Schwachstellen in verwendeten externen Bibliotheken verantwortlich.
In diesem Vortrag stelle ich die Herausforderungen der sicheren Integration von Drittkomponenten vor und bespreche die notwendigen Schritte – von der initialen Auswahl bis zur Wartung –, um das Risiko durch Free- bzw. Open-Source-Software-Drittkomponenten zu minimieren.

Vorkenntnisse
* Grundlegende Kenntnisse im Bereich Softwaresicherheit (CVE/CWE)
* Grundlegende Kenntnisse der Softwareentwicklung
* Grundverständnis der Open-Source-Entwicklungsmodelle

Lernziele
Nach dem Vortrag sollten die Teilnehmer
* verstehen, welche Risiken mit den Einsatz von Drittkomponenten verbunden sind,
* verstehen, welche Schritten notwendig sind, um die Risiken zu beherrschen,
* die aktuellen Werkzeuge und Techniken in diesem Bereich (z.B. Software Composition Analysis) einschätzen können,
* die verschiedenen Möglichkeiten zur Wartung von verwendeten Free-/Open-Source-Komponenten verstehen.

// Achim D. Brucker Achim D. Brucker

leitet das Software Assurance & Security Research Team (https://logicalhacking.com) der Universität Sheffield. Davor war Dr. Brucker (https://www.brucker.ch) im Bereich statische und dynamische Sicherheitstests bei der SAP SE tätig. Unter anderem hat er die Securitytest-Strategie der SAP definiert sowie Sicherheitstest im Inbound und Outbound Open Source Process der SAP durchgeführt.