Merken

Sichere Softwareentwicklung

Zitierlink des Filmsegments
Embed Code

Automatisierte Medienanalyse

Beta
Erkannte Entitäten
Sprachtranskript
so war es 10 Uhr 1 weggefallen einen wunderschönen guten Morgen schön dass so viele erschienen sind zum über sichere Softwareentwicklung an klingt bisschen global es bereits heute von der erstmal nur ein praktischer Einstieg das heißt ich will euch bis was erzählen wie wir das gemacht haben uns dem Thema gewidmet haben und dann wann sie zum 1. Mal überhaupt haben uns Gedanken gemacht hat über wie wie macht man das eigentlich was wir tun und womit und wie und wie oft und warum überhaupt davon bin ich einmal erzählt mein Name ist Eva Katz ich Leitl dies auf Entwicklung im Bundesversicherungsamt in Bonn in einer Behörde ja aber wir arbeiten sehr agile machen dass die das Fanpaket machen könnte ist Hillary und dann wollten es deshalb auch um Sicherheit bei kümmern worden das
Bild kennt vielleicht schon ein anderes kursiert im Internet zu vielen verschiedenen Themen um kann viel hineininterpretieren wer vor allem denke ich auch nicht die IT-Sicherheit sie denn dann egal was für regen und wir uns in die aufstellen wenn wir die nicht prüfen und kontinuierlich überprüfen ob sie dann auch eingehalten werden dann kann Kleist lassen gibt es wenig Sinn dann sind in die Alibifunktion an eines der größten
Probleme bei dem ganzen Thema ist natürlich in das Verhältnis haben ziemlich viele Entwickler meistens dann wenn größeren Teil noch von aufbrechen ist aber sie hier die ist dann ganz dünn besetzt und die die da sitzen sind auch meistens komme ich erst Entwicklung wissen also dass man nicht was man denn eigentlich auch in der Entwicklung machen müsste und könnte um sich sich deutlich mehr zu kümmern die Flughöhe ist also ein bisschen zu hoch für Entwickler meist man danach das Thema agil und könnten es viele wiederzukommen wir also irgendwie häufig nicht unbedingt mehrmals täglich aber
zumindest nicht nur einmal im Jahr ausliefern wollen an ist sowas wie ein fest wird dann echt schwierig weil wann wollen wir die machen das halt nur dann die die Pipeline an oder was passieren
ein möglicher Schritte dahin sind da eine Verbesserung zu erreichen ist kommt die nächste Kirche Testing also alles was wir bisher schon kontinuierlich machen aber eben auch ein Test den mit 7. Jul zu festigen was heißt das was wir wollen also statische und dynamische Analysen das ist die Aufteilung balgen sich wütend fest ganz oben in an der Entwicklung schon durchführen das am besten frühzeitig regelmäßig um darin das was bei den Penetrationstest passiert die manuellen Dinge die worin sich irgendwelche Dinge genauer angucken muss dass man dafür mehr Zeit hat weil die einfachen Sachen impfen rausgefiltert ab das heißt automatisiert hier irgendwelche an ok mir Schwachstellen rausgefiltert hat ansonsten ist das was man als Überschuss Ergebnis von einem Band hat sonst fest gesehen hat es kann 3 5 600 Seiten PDF sein die erst mal auch meistens kommt an wenn erstellt hat aber haben wir nicht so gut sortiert und auch viele Phosphor jetzt können sind also Dinge die eigentlich keine keine Probleme sind unternehmen bis man dadurch ist dauert ewig und bis man das so verstanden hat was da drin erklärt wird ist nicht handhabbar also versuchen so viel wie möglich vor herauszufiltern aber um dazu in der Lage zu sein brauchen wir ein paar Voraussetzungen was ist dann der 2. große Bereich in den dann eigentlich wollte geht Frauen sollen sich Joko den geeilt auch im Programm Richtlinien die wir uns selber auferlegen um Schwachstellen Kozuh vom eigenen das Ganze müsse auch irgendwie in den Weltprozess integrieren damit wir den .punkt Automatisierung auch durchführen das regelmäßig bei jedem Bild Prozess bei ihr dann aber die Bäumen vorher ja und dann kommt das entscheidende vielleicht noch dazu das was wir der Force alles schon kennt müssten eigentlich ein bisschen erweitern nämlich unsichere geht also sowas wie 6 der obs und dann das habe auch getan und ich hab mich mit der IT Sicherheitsbeauftragten dann zusammengetan die jetzt von dieser Entwicklung keine Ahnung hat und mir dafür viele andere Dinge erklären konnte womit ich ursprünglich Entwickler man nie so wirklich beschäftigt habe und das was dabei rauskommt ist wieder Schlagzeilen zuerst noch die Frage warum sollen es
eigentlich darum kümmern das eigentlich ganz klar ich komme jetzt hier außer Behörde das heißt wir müssen es tun wir haben sowas wie es die Grundschutz an wir uns halten müssen da er wegen des Krieges einzuhalten die Grund Schutzmaßnahmen da gehört sowas wie witzig aus auf Entwicklung dazu was auch immer das dann im konkreten bedeutet aber viel wichtiger ist vielleicht noch dass wir das auch proaktiv machen wollen wir wollen dieses Mysterium enträtseln was versteckt sich eigentlich hinter diesen ganzen Dingen die haben es vorlegen Tschetschenen unter die ganz anderen fallen Begriffe und im Ergebnis wollen wir diese Giolitti dann eben nach vorne verschieben oder zuletzt das heißt Entwicklungsprozess deutlich nehmen und nicht wie bisher erst kurz vor Produktionsaufnahme also das klassische Bild was man eben kennt aus Entwicklung nur wenn man ein viel arbeiten möchte und vielleicht sogar konnte Destillerie wissen von Produktion macht muss man sich über Südtirol die Tests auf den verschiedenen Ebenen in Gedanken machen wenn man denn schon mal so weit ist dann hat sich diese schon so weit vorbereitet und Infrastruktur und von dem was darauf passieren soll und Gedanken gemacht welche Tester stattfinden dann wenn man sich darüber Gedanken machen welche Tests lassen wir denn da auf dieses laufen sID Joltid fest häufig kommt dann aber erstmal so der Einwand Kontenliste wie auch von Sicherheitsexperten ja das ist sehr gefährlich wenn jetzt jeder Entwickler einfach einsteckten danach befestigen Produktion das ist uns ja viel zu gefährlich auf der anderen Seite sag ich dann
man dazu eigentlich ist das ein Vorteil konnte Destillerie zu machen denn wenn uns eine Schwachstelle auf auffällt auch von diesen ganzen Meldungen die vom BSI umgehen die CVE-Nummern hat sich mal jemand gesehen hat welche Schwachstellen welche konkreten Anwendung vorkommen oder Betriebssysteme und da können wir das ja hier auch dann schneller wieder begeben und man einfach diesen diesen diese Schwachstelle die aufgetreten ist uns bekannt wird werden Fehler beheben können wir ihn halt eben auch viel schneller wieder aus und weil ich auf das nächste Release 1 Jahr warten müssen und es morgen machen können aber wie fängt man denn eigentlich an was haben Sie eigentlich erst in der
Entwickler super obwohl ich ins wirke sich über die er sich ebenfalls sein und umstritten an es gibt viele Quellen im Internet und an die bekannteste es vielleicht so was wie wo was was ein schon begegnet ist aber wenn man da mal tiefer in die Kataloge und listenreich so kursieren und tauchen viele Begriffe auf die man aber erst mal verstehen und zueinander in Beziehung setzen muss was die an Attacken Schwachstellen und Verwundbarkeiten und eben ein Fehler es sind die Frage was denn der mögliche andere von aufgrund welcher Schwachstellen sind diese möglich welche Software Fehler sind dafür verantwortlich und wie kann man diese vermeiden das ist so das Grundgerüst an den Monstern orientieren ich sage mal vor kommen noch nach und nach welches dürfen auch gerne welche weil ich möchte nicht dass jemand anders sagt er Stunde verschwindet es geht gleich um Java Webanwendungen werden es vielleicht nicht vorher gelesen hat und jetzt überrascht ist weil ja aber jetzt nicht so positioniert ist kann sich noch überlegen zu gehen also werde gerne bekomme ich das anzuhören das meiste ist der dann allgemeingültig aber wenns nachher auch ein bisschen konkreter Sache mit der Entwicklung die geht es ist ja wahr und der Anwendung war wie fängt man an Oberst hat den hat vielleicht der einander schon mal was von gewaltigen durch alle 3 oder 4 Jahre aufgestellt Sonde Liste der von Ihnen eingestuften toppe Risiken sind das in dem Fall n da taucht dann sowas anstelle eines meistens auf gegen Tschetschenen und darunter zu ebenso wunderbar stets grellen Tschetschenen OS der und was also die haben so viele Fall angezogen bei diesem weitverbreitet dann dazu aber nach diesem mit Top 25 sind es schon bisschen älter aber das was dahinter ein Katalog steht sind aktuell das nämlich diese CD ist ein Schwachstellen Katalog der in anderen Bereichen auch wieder verlässt wird da werden die einzelnen Schwachstellen im Allgemeinen beschrieben was ist ne entdeckt und oder was wie häufig kommt es vielleicht vor wie oft benutzen dass die Angreifer was für Auswirkungen hat das das für einen der finanzielle und lässt es Auswirkungen hat das und durch welche Attacken werden diese Schwachstellen im versucht auszunutzen und dann ist das ganz an immer weiter zunehmen wenn die Kirche sich Jolie Konsortium dem auch Katalog aufgestellt das Ganze ist meistens relativ einfach aufgebaut was wie wir einfach nur ne Liste von Attacken und eine Liste von Schwachstellen dahinter Fachwelt immer eine konkrete Seite mit mehr oder weniger viele Informationen was es genau ist wie man das beheben kann denn ein oder an Programmiersprache sogar wahlweise mit Beispielen erklärt aber alles relativ lose gesammelt und dann untereinander Bild verlinkt um sich einen Überblick zu verschaffen es sowas vielleicht hilfreich wie baut sich das Ganze eigentlich auf oder zusammen jetzt er das Risiko was o dann das Hauptkriterium ist wenn man ihr das ist eigentlich das Produkt aus im Schaden mit der multipliziert mit Eintrittswahrscheinlichkeit und dieser
Schaden kann sich zusammensetzen aus nach Schwachstellen diese Schwachstelle kann eine Verwundbarkeit sie hatten das Gegenteil davon weil und mit der Attacken ja so weit so gut dazu vielleicht noch als Ergänzung dieser diese Kataloge wie
es in der Rangliste auch dass eine Rangliste die natürlich irgendwelche Bewertungskriterien zu dieser Rangliste zu kommen das ist sehr
unterschiedlich kann man manchmal schwer miteinander vergleichen hat auch einen komplett anderen Ansatz von den jeweiligen Risiken und hier weil einfach die Liste der Schwachstellen wenn man sich aber hier mal die die Matrix ankommt wie sie das bewerten das ist schon da sehr sehr umfangreich und was da alles mit rein spielen aber wenn man sich das jetzt dann eben im konkreten ankuckt landet man eigentlich bei erst mal so ein welchen wären wie diese ganzen einzelnen Visiten Attacken Schwachstellen und Verwundbarkeiten und die sind eigentlich alle mit allen mehrfach verlinkt an was das heißen Risiko kann also entstehen aus einer oder mehreren Schwachstellen und Verwundbarkeiten Unverwundbarkeit wiederum keine Ursache ein oder mehr Risiken sein Verwundbarkeiten repräsentiert Schwachstellen über mehrere bekannte Attacken ausgenutzt werden und so weiter und so weiter kurz aber ein kleines Beispiel aus diesem Katalogen haben jetzt jedes Einzelnen das ist die Injektion bei was dann kann das eben verknüpft sein hier mit diversen an Augenkrankheiten aus anderen Katalogen was es jetzt genau bedeutet es so wichtig dass ich aber nicht vollständig das sind noch deutlich mehr aber sowas wie dieses Mask 20 Uhr ist dann im Körper impotent liegen und wer ist die CD 20 das Klaus im 2. Beispiel aber so könnte man das Ganze dann aufbauen macht es aber im Endeffekt nicht einfach weil das Ganze zu verstehen und sie eindeutig zuzuordnen womit kann es nicht erst beschäftigen und was macht Sinn was ist das wichtigste deswegen ist er wenden
den Fokus irgendwo drauf legen aber der wenige Tage warten wir Limits erstmals Basis die Top Ten wenn man die anderen Sachen dazu wo es passt aber das 1. die Ausgangsbasis wir können uns mehrere Anwendungen und wir suchen uns jetzt da die erst mal raus wollen faktischen Einstieg haben wir die wir auch eindeutige Vorgaben formulieren können Entwicklungen und die wir auch durch statische Analysen Vespermann machen können wir starten erwiesenen erstmal extrem einfach umzusetzenden schnellen Ausführung und angewiesen wäre und sie lassen sich dann eben auch und das ist dann auch Fotos in dem Bild Prozess integrieren was daraus geworden ist dann erst ein Projekt werden Sinn des Ganzen ist es war kein Riesenprojekt eines Vorbescheids blickt er erstmal der
Monate auch dann nicht Vollzeit einarbeiten wir gut aber 1. die Sichtbarkeit davon natürlich auch erhöhen wir wollen ich auch Ziele damit verfolgen wollen dann sagen wir haben etwas getan und damit haben auch wirklich was erreicht ist wir wollen
Okami Richtlinien aufstellen die haben sollen der sich uns Entwicklung und wir wollen das mit Frequenz wollen wir ganz schnell es war ein Staat kommen dadurch finanziert von Projekten erst vorstellen was erreichen und haben das ganz am besten auch mit wenig Aufwand aber das hat wirklich der fokussieren mit einfachen Tools ja wir irgendwas aufzumachen wenn diese Richtlinien sollen leicht und schnell tastbar sein das Ganze jetzt noch gepackt in einer
ordentliches vorgehen es wir müssten uns erst mal darum kümmern die ganzen Dinge dazu verstehen in diesen Katalogen auftauchen wird dann müssen wir da was raussuchen also will wählen per Außenrist sowie unserer ich Richtlinien Stellenkatalog auch an Schulen liegen sensibilisiert Entwickler was ist dann zu tun wenn wer das hier nicht immer an machen wollen diesen Fehler wir kümmern uns dann die Integration in den Prozess und danach in das Ganze steht noch wochenlange Evolution auf das denn jetzt auch das richtige ist das wieder tun das Ganze ich für den Focus zitiert worden und sich wirklich festigen und erst im Schritt 1 das heißt das ist soll interaktiv sein danach sollen Schritt 2 zum Investieren Regeln aufstellen aber noch keine großen einen großen sich Joko legal das Ganze sollen die mehrmals machen und uns ein paar Runden dadurch Quellen und am Ende vielleicht 40 50 wegen haben aber das ist ja schon mal der Anfang und das ist das Ergebnis der ganze primitive lässt er
sie Regeln sind einfach auch in haben auch Forderungen formulieren also verbinde das Injizieren von Schadcode SQL-Befehle aber es damit nicht so gut lesen kann es eigentlich gar nicht so wichtig was da drinsteht geschafft doch auf Papier 1. dann wirklich inhaltlich habe es geht er so um das das Vorgehen der dabei darunter haben dann die die riesigen Verwundbarkeiten und Attacken verlinkt also wirklich mit den Einträgen aus den Katalogen dass man sehen kann um welche dieser Dinge eben auch nicht um alle Auswirkungen dieser dieses Risikos um welche konkreten kümmern wir uns jetzt in diesem Fall hier ist schon was vorweggenommen was Vergleich noch deutlicher sehen womit testen das mit welchem Tool wenn trotzdem eine von da oben werden die bekannteste auch
der mal ein bisschen genauer betrachten das was sich denn dahinter verbirgt hinter dieser Liste dann quasi eine Seite in WG oder so was auch immer dann sind wir noch erklärt was ist denn dann zu tun für die Entwickler erst war die Erklärung was ist denn die Ursache von solchen Dingen wie SQL-Injection also ungeprüfte Übernahme von User Eingaben welchen Parametern SQL-Abfragen und was die Auswirkungen der das Edelweiß Sensibilisierung und jeder weiß was wird das denn eigentlich wenn ich diesen Fehler meiner Anwendung habe was kann der Schaden soll die Manipulation von Daten unberechtigt abfragen und jetzt das entscheidende Hurrikanen wie kann es verhindern muss natürlich ein bisschen überlegen reingesteckt werden was passt zur Architektur es passt meinem sagte die Design es gibt halt auch diverse verschiedene Möglichkeiten vielleicht das zu lösen und in dem Fall wäre es so was einfaches Wiebke erzielt das der oder nach eigenen Kriterien und wenn man es aus der Geschichte aus dass man man 2. Beispiel ein bisschen vielleicht müssen schwammiger was er Anzeige und technischen Fehlermeldung vermeiden warum eigentlich Ursache ja technische Fehlermeldungen beim bis zum Anwender durchgereicht nicht ordentlich abgefangen Ergebnis ist die Informationen bekanntwerden wie Infrastruktur über konkrete Daten unberechtigte können diese plötzlich einsehen das wollen wir nicht verhindern und das können wir zum Beispiel verhindern durch Showmastern er in der XML dass ich irgendeinen Sektor ist wird sich auf der Webseite steht oder eben vor allem auch dies der Christen separate Logdateien aus Lagern das was ein schon in den 1. Schritt für Regeln aufstellen und dann und die die Entwickler dafür sensibilisieren wenn wir schon bei dem steht wie immer das Inbild Prozess um das auch kontinuierlich machen zu können er darum es wahrscheinlich jedem bekannt und für Jenkins gibt es viele von Plug-ins und wir wollen es dabei nur fokussieren auf einen kleinen Bereich unserer Welt haben wir hier einen an eine Erweiterung von 1 Fax gefunden Feind 6 packst es quasi Plug-in für vereinbart wer sich kommen was konkret geht es um sich Jyoti Regeln kümmert läuft dann eben genauso mit in den ein wachsen die alle anderen Regeln nur das Internet eben auch machen sollte weil das kann ständig mehr inzwischen über 80 verschiedene sich je Prüfungen in darauf beschränken was man jetzt sein Kataloge aufgestellt hat und wir haben glaube ich 7 der 10 Regeln lassen sich mit einem Fax prüfen und genau diesen auch hier nur aufgeführt und eingeschalten quasi aktivieren es geht halt in denen den Fokus immer nur genau auf das zu zulegen was sich gerade auch prüfen kann und was sich begeben kann es nützt wenig sich noch 200 andere Meldungen bekommen bekomme die aber sowieso immer jedes Mal ignorieren weil ich erst nur ich weiß um was es da geht und nicht weiß wie es gehen kann in der 2. Kandidat ist einst das ist ein absolut jedem ans Herz legen will ist der oberste kennen Sie Jack also alles Open-Source und an wird hergestellt von der Oberst und ist ein Tool das eine Datenbank im Internet anzapft und zwar die der Schnoor und Bild Tibeter wenn ist dort wird von der US-Regierung die über 80 Tausend konkrete Verwundbarkeiten in Anwendungen gesammelt da kommen die konkreten CVE-Nummern her die dann geschickt werden als wie sie waren und sind was wenn plötzlich in das Cisco-Router aufgefallen ist plötzlich sich bei und das war mein Beispiel in der Ecke der Jugo in der Version 5 Siegen sind bekannte Verwundbarkeiten und zwar der 14 Stück ich und wie soll ich denn gepflegt als Plug-in Intelligenz zieht sich dann einmal in das kann man auch zentral für alle Projekte machen und zentral ablegen lassen diese komplette Datenbank und das dauert ein bisschen sind 3 werden diverse und checkt gegen diese Datenbank werden die abhängigen Jias die ich in einer Anwendung haben und das ist viel wert wir sehen hier dass diese Version zum Beispiel schon 4 hoch eingestufte vom Packeis hatte oder bei hier zum Beispiel im Körper in Beverly welchen er werden auch schön genau die haben der aus den Katalogen wieder aufgezählt was da genau gefunden und Ergebnis ist eben ganz einfach dass man dann sagen kann okay wir haben es hier Version 5 Siegen eingesetzt mal gucken ob da nicht nur neue draußen ist nun mal gucken ob die nicht die Verwundbarkeiten vom alten System dem Beispiel in Oslo 5 8 hat genau diese 14 vom und hat dann gar keinen dann wenn man das dann in so einstellt dass zentral verfügbar ist und aktualisiert sich das eben alles quasi bei jedem Bildlauf einmalig auf den was Neues drin ist das dauert dann eben nicht mehr Landesunternehmen KB und jedes toleriert Anwendung kann diesen aber diese Datenbank benutzen und diese Auswertung bekommen entscheidend ist auch immer schön dass diese diese außerdem immer gleich aussehen kann sich mit Recht orientieren wie Verwarnungen Hartmann und kann dir die ganzen hat und durchgehen in den Code reinspringen und weiter das schöne bei den Jenkins Plug-ins ist ja auch noch dass ich hier Politiker jetzt setzen kann ich kann mir also sagen oder auferlegen wenn ich entdeckte das in meinen in den Vorstädten Regenschauers Verwundbarkeit mit hoher Priorität drin sind und nur eine einzige lass ich eben den Weltprozess Abrechnung muss es erst vor wenigen dann lief ich diese Anwendung mit dieser Schwachsinn nicht aus würdig am Anfang jetzt nicht machen wenn man startet bei es gibt könnte es schwierig wenn überhaupt noch irgendwas zu den neuen aber wenn man mal eine schöne Beslan gezogen hat und das meiste ausgefüllt hat zumindest in diesem Falle oder oder man kann man sich sogar Wohnqualität Qualität setzen und damit kontinuierlich sagen wir sind sauber und sobald das drin ist ebenso zu von meine mit Prozess im abdichten ganz das 3. Tor auf der Liste sollen Eigenentwicklung werden leider stoppt die Entwicklungen wirklich dass ich dazu komme er schon ganz hinten an der XML Checker der dann das fehlende Element in der Richtlinien Liste noch vervollständigt indem man einfach sagen dass hier checken ob in der XML die ganzen Parameter ich alle gesetzt sind die ich brauche um damit zumindest das Gröbste und einfachste an der Chirurgischen einzubauen sagen ok wenn man nur ein Produkt herstellt dann kann man das einmalig wenig machen da keine Frage wie man da 60 70 Webanwendungen dar natürlich ständig in die nachgucken und den wusste schon gekuckt hat dann würde ich gern lesen Jenkins Markennamen wenn ich sage das muss drin sein mir dann ausgelastet oder Bild sich ab mit Prozess abbrechen wenn es denn nicht so ist also wenn auch er sich beteiligen will gerne gemacht Bescheid sagen dennoch noch Unterstützung Unterstützung droht für die einzelnen kleinen Fehlermeldungen die wir dann haben wollten gibt sogenannten die gut Beispielen ja aber das es steht dann da auch um genau diese zu produzieren die in der im Katalog entstehen das gibt noch ein bisschen mehr so in der weiten Welt als haben auf der Konferenz hatte verpackt werden kann wenn er zu mir und meinte er das mit dem der XML das ist ja cool aber es habe schon gar nicht also tue zeitweise heißt es Ding es ein kostenloses nicht Open Source es ist ein sehr umfangreich deswegen bezweifle ich dass es kostenlos bleiben wird aber aktuell ist noch so könnt ihr euch mal anschauen darf ich genau das drin was jetzt was wir alles einzeln gemacht aber wie jetzt ist ein 6 wachsen hier ist der oberste Grenze sie checken und diverse andere Sachen auch zum Korb Kraft wer was wo aufruft und es ist nicht ganz selbsterklärend muss sich schon müssen durcharbeiten aber es ist doch kostenlos das
habe auch erreicht und wollte das auch so wir wollten nicht dass jeder Entwickler sich lokal um alles mögliche kümmert wie stelle ich meine Fairfax wegen einen wie komme ich an die Plug-ins wann las ich die laufen muss die ständig laufen lassen das erstmals zentral gemacht eines zentralen Jenkins abgelehnt und sobald Entwickler was seinen Code Scheck wird in seinen Bann der Job das alles durchgeführt und über die Stadt Standardkonfiguration wieder nach allen Projekten liegt und der Entwickler selbst muss es sich erst um nichts kümmern also das Argument ich hab keine Zeit mich ja zum Sieg über die Sache zu kümmern ich muss entwickeln n war erst mal damit eliminiert
dann können jetzt kommt ein kleiner bisschen aus Schweiß das Ganze was wird da schon mal gemacht haben kann man auch ein bisschen bewerten Markenkollege der haben Christian
Schneider ist auch viel als Weizsäcker unterwegs und so hat er mal aus Spaß und und mit Judy Morde aufgestellt würde ich gerne mal auch zeigen dass es ziemlich coole aber so verglichen mit dem würden wir kümmern uns also in dem die 4 inneren Gürtel wesentlich totaler Anfänger und nicht Master Guru aber wir kümmern uns um 4 Jahre in 4
Stufen den und das auf 4 Achsen auf der Achse Konsolidierung dynamische tiefe statische tief und Intensität in den Bereichen kann es das irgendwie bewerten was wir tun und was noch zu tun wäre und die nächste Stufe zu erreichen und wenn es das bei der staatlichen tiefe mal anschauen tauchte schon genau das auf was wir getan haben Stufe 1 wir wollen die vertrat die leider ist überprüfen habe gemacht Tool Vorschlag ist ja auch dieser Hände Jack gibt auch was äquivalentes für JavaScript und kann der Stufe 2 erreichen indem wir unseren wichtigen Code zu den so was wie ein 6 Fax wir das Genter erst für JavaScript aber auch getan es kann der Stufe 3 eigentlich erreichen indem einfach alles denn daraus vielleicht 2 Minuten länger aber wir genau den gleichen Ton und seine schon drauf legen wollen dann können wir eigentlich auch das machen was wir da geliefert bekommen können auch selber machen wir die nicht vertrauen wir sagen wir wollen alles was der Anleitung haben externe und einfach selber den Code checken lassen wir in 1 6 Fax über den Sourcecode dieser verpasste leider laufen wir denken in diesem Katalog sind noch nicht alle Verwundbarkeiten trennen wir checken das lieber selber wir auch jetzt hat sei ein bisschen trauriger bei dynamischen tiefer haben ich bin ich immer wieder gesagt gar nicht denn wie kommt sowas ins Spiel wie wir testen eine laufende Anwendung und an da gibt es auch schöne Open-Source-Tools ist er ist nur mein verwirklicht die diese immer gleich noch es eigentlich nun Aufsatz noch quasi für sehr Arachne ist die Konkurrenz dazu und hier gibt es auch verschiedene Möglichkeiten das ganze Ding 8. beide 30 lass das Ding auch meine Anwendungen los im einfachsten Fall ist es gibt auch da wohnen wo ist für Sie nachher noch nur URL ein und dann beschließt der diese Webseite bitte nicht mit öffentlichen Webseiten tut werden das gibt es in der 1. Stufe erstmal gegen nicht authentifizierten Bereich das heißt also ohne Login einfach alles was so erreichbar ist wird irgendwie beschossen er hat es eben Standard Attacken schon vorgesehen ist dann da drauf ab lässt in Stufe II das ganze hingegen authentifizierten Bereich muss also welche Session Parameter mit dem vom Mittwoch ich mich einen User an um einen bestimmten Bereich oft an einem Tag zu erreichen und die n Markenwesens weiter dann 3. Stufe 3 kann das ganze ausweiten das Ganze hier geht der übernimmt will über die URL der der Hauptanwendung quasi und alles was dahinter passiert kann ich ja auch Jack also alles was mit Werkzeug das Aufrufen zum Beispiel auf dem länger hier kann ich auch beschießen und da alles zusammen zerstören also etwa steht wirklich also wenn der Formulare sind wir müssen Datenbank speichern einfach so die werden auch wirklich vollgemüllt also da echt aufpassen da kann man sich auch währenddessen deren komplett zu schließen Warnstufe 4 wäre noch das gezielte ist denn das hier ist ja alles quasi so vorgefertigte und wenn ich dann noch irgendwas spezielles brauche weil ich ja auch zum Beispiel Formular 1. konnten die richtigen Daten füllen muss um auf wie weiterzukommen der andere auf die nächste Seite zu kommen muss das natürlich selber machen und das Ganze dann vielleicht zum Beispiel dass wenn den Tests oder ähnliches werden mit sehr überfielen und es laufen lassen alle Funktionsweisevon sei es einfach da sind die dass er den Proxy ist an sich kleine zwischen dem Browser und er fängt aller Abfragen fängt und manipuliert sie so einfach und sie dabei und das kann ich auch dann kann ich auch hätte es steuern über über WhatsApp die Aussteuerung alles an ziemlich cool auf Scribd da da kann ich mich da drum kümmern wie intensiv mach ich meine Tests bei den staatlichen Test erst in relativ einfach zu beschreiben wenn ich Einsätze wie Checks der ein Wachstum so weiter nämlich in der Standard Regelwerk über mich nicht um welche Auswirkungen die Einzelfälle haben oder wann sie genau an greifen wollen dass der Stufe 1 Stufe 2 das ist eben an und individualisierende das bei bei den dynamischen ist das passendes kennen das heißt ich starte den Scanner eben einfach so wieder vorkonfiguriert mitgeliefert wird bei bei den dynamischen meistern in ihr bisschen genau war also wo genau soll was getestet werden in leichtgewichtige verbilligt wichtig bedeutet dabei das gleiche wie das was man vielleicht aus anderen Tools ja eben keine ebenfalls etwas ich kann eben einstellen wie intensiv an nach geschaut werden muss das kann wie sie n die die Laufzeit deutlich erhöhen auch selbst bei statischen lösen als irgend möglich es gibt auch noch den Motor hängen und aber das ist dann aber mit allem drum dran und die letzte Stufe bei staatlich wird kann man sich natürlich auch immer Gedanken machen vielleicht wird sollte man wichtig eigene Regeln so programmieren die kann ich auch dann einfach einen Text oder ein Fax einbauen und bei dynamischen lässt sich eben nachher alles das kann so viel schon mal vorweg bei so was wie sagt und dynamischen Analysen aufnahm komplexe Anwendungen kann das mehrere Stunden dauern das sein ein Problem werden und dann aber noch den Bereich Konsolidierung das heißt er war wirklich mit den mit den Ergebnissen um bei Stufe 1 kann ich mir einfach hat er lieber zum Beispiel erzeugen oder Jenkins Statistik anzeigen lassen erst mal ganz nett Stufe 2 aber auch schon gesehen ich kann auch nicht die Qualität setzen was akzeptiere ich noch an Fehlern und bei Stufe 3 wird man schon sparen wenn ich dafür dass mehrere solcher Tools einsetzen können sich die überschneidende können identischer Meldungen bringen die ich irgendwie zusammenführen muss als muss die Duplikate konsolidieren und dann soll ich mich natürlich irgendwann wenn ich weiß dass was da raus kommt ist auch wirklich sinnvoll und das will ich und muss ich dann soll ich das auch nachverfolgen mach Stadthaus Tickets vielleicht nicht ganz am Anfang wenn 2000 Sachen auskommen das macht keinen Sinn das guckt sich kein Mensch an aber irgendwann wenn das den guten Stand erreicht hat wer vorne was abgefahrenes ich kann das ganze was ich da tue die johlte Tests auf meinen Code kann ich auch eine Kurt Kabel Strauch machen und da gibt es aus Tool von Oberst für kurz ob ich denn allen meinen Code auch wirklich witzig Judith versehen versehener Kamera aber das positive an
dem Ganzen ist wir haben jetzt mit den Mini-Projekt was wir jetzt hier quasi gemacht haben schon relativ viel erreicht in kürzester Zeit wir können bei der staatlichen tiefe Level 3 bis 4 reichen bei dynamischen tiefer leider gar nichts schade eigentlich Intensität kann aber auch länger 4 noch erreichen konnte die zumindest den Colt jetzt bis zur Stufe 2 kommen da so viel dazu das ist so
dass der praktische Einstieg das
Mindeste was man schon mal mit wenig Aufwand machen kann das war leider noch lange nicht alles denn dann wie gesagt das war am Anfang schon klar dass Sie das vorziehen Regeln Abkommen deutlich
mehr müssen die Runde damals drehen und wir müssen fest entwickeln wir können nachher wahrscheinlich nicht mehr alles mit irgendwelchen kleinen Tools machen und müssen dann halt über junge Tests oder sonstiges die einzelnen sich nur die Dinger prüfen und ist kontinuierlich in die verbessern kommt was Neues dazu kommt ja 8 dazu brauchen vielleicht andere Ursachen und so weiter aber um wieder was Positives zu sagen was dann kurz danach irgendwann gefunden hat das was noch nicht so lange her dass das Ausgaben ihren Namen es noch von 2016 in meinem Herzen und kam von o was diese Projekte kommt raus aus und die wollen damit also einer Top 10 aufstellen die 10 wichtigsten Dinge die jeder Entwickler kennen und umsetzen sollte und das kam nach unserem Projekt aus und dann hab ich die Liste gehört der is das wir haben und 1 sie hier die Tests früh und häufig machen ja genau das war nicht unser Ziel das steht eine und dann ersetzen und bunte Mischung irgendwie aus Methoden und aus konkreten Dingen und sowas wie parametrisiert abfragen der haben wollten uns auch ganz oben drum kümmern SQL-Injection nein ,komma und andere konkrete Prüfung um die wir uns kümmern wollten auch sowas wie ein denn Kinder Abend auch in die Kirche kommt wo ist immer gleich auch noch was haben laut BGH als auch kommen gekümmert bedauern das Laub in standardisierten wenn wir mit den Eltern nicht aussehen soll wie welche Logdateien erstellt werden welche Logdateien separiert werden andere und so weiter man kann noch Lachs der SPI war 1 draufsetzen und das Ganze noch zentral auszuwerten und sicher die wenn wachsen leider ist prüfen und Ehre und erkenntlich einsetzen wunderbar genau das wollten wir tun so dann noch mal in das schwierige Kapitel und das große Kapitel dynamische Analysen den er sehr aber voll schon mal kurz angesprochen so sieht das Ding aus es gibt es als Desktop-Anwendung aber tatsächlich und jetzt das was man im tun kann einfach eine URL eingeben und beschießen dann baut sich hier wohnen Seiten Baum auch ich kann da rein schauen was denn da gemacht hat es taucht auf welche Warnungen welche Risiken und Schwachstellen gefunden hat und die kann ich mir anschauen und das ist eben dann verknüpft mit einem Katalog sodass dann ihr auch irgendwo drinsteht womit man diese Schwachstelle auch beheben könnte das ist tatsächlich ein Toolbars welchen Tester benutzen und das lässt sich dann eben auch jetzt in der Kantine die könnte Stile wie Hakan einbauen weil es eben hat das läuft über WhatsApp die ansprechbar ist und dann über 10. Der 1. oder oder irgendwas steuerbaren werden wer an nochmal 8 und wusste wird akzeptiert also Formulareingaben werden losgeballert auch hier gibt es Jenkins Plug-ins wo ich wieder in der Lage bin konnte zu setzen und das klingt auch automatisch zu starten sogar automatisch für unter Zulagen und dann aber das wird nicht wirklich gut gepflegtes plagen das seit der neuesten und von selbst funktioniert das nicht mehr das und ältere Versionen den auf das wir halt variiert dann Monat hatten wir auf der Liste noch ehe die sich für die und dann auch offen so natürlich baut ein bisschen auf
deshalb auch das Benutzers welche Hintergrund und an erstellt über Kim kam war aber sehr klug ,komma kennt als geregelt werden kann Development Methode es ins Doris formulierten geben wenn den Schema in das Ganze dann eben bitte diese Tür geliefert solche Storys für sich und die Tests aus weil die kann nicht einfach benutzen die sind schon vorformuliert mit ganz viel Szenarien also die sieht man das sind 49 ist Szenarien schon vorformuliert diese Bereiche alles was so wichtig ist und dann teste dann eben die Anwendung auch die Umgebung der Anwendung also welche Ports sind offen welche dürfen offen sein und so was sie mit Hilfe von Kju kann sehr und gegebenfalls lernen kann man sich mal anschauen das Ganze sieht dann zum Beispiel so aus so ist es toll formuliert geben wenn ein oder man muss sich also noch vorkommen aber hier ist eben die Frage das überprüft ob nach der Anmeldung eines nur aus dass ich nur Flecken setzt es wir werden halt über Parameter sowieso Tabelle die dann bei ich das mitgegeben und melde sich an und das Ergebnis sieht man eben wie es läuft dann viel Juni Test das ist fehlgeschlagen ist weil es das Leck eben mich schon besetzt ist sondern auch bei uns und so kann ich ganz einfach Juni testweise auf sie Jyoti an täten erstellen und zwar das Beispiel ein bisschen umfangreicher ich will prüfen wenn 2 Lock-in Vorgänge hintereinander stattfinden das eine neue unterschiedliche sehr Session-ID erzeugt wurde und so passiert ihm das gleiche wieder locken Session-ID wird gemerkt haben anmelden User ist eingeloggt und was hier passiert 2. natürlich wieder als Beispiel ist fehlgeschlagen wenn die Session-ID wenn er sie bereits sagten gleich Annahme den Bereich sich für die freie des jetzt geht's dann wirklich in die Entwicklung er ist da relativ bekannt und wird auch glaubwürdig und bringen sie Giolitti benutzt und diversen anderen Tools hier kann ich das eben ein bisschen unterstützt alles machen muss man natürlich immer noch um vieles selber kümmern aber Peter schon gewiss Unterstützung bei um was es da geht es hier kursiv geschrieben was eigentlich nicht mehr weiterentwickelt wird es gibt dessen Ablösung dafür das sind wo es ja ich gar nicht mehr erwähnen was aber so spannend ist sowas wie jetzt auch intensiv eingesetzt haben produktiven und allen in allen Umgebungen ist der Whisky Clock n das wäre das ist zufrieden gibt ok n das ist vielleicht hätte man Picket lenkt das war dann auch entsprechend wird ähnlich wie wirklich Chirurg das ist quasi die Ablösung des wurde alles was da aus dem 2. Becken Weise zusammengekommen und entstanden ist was ziemlich cool ist nämlich quasi fertig
hier unten wo ich und das heißt ich kann er über eine Stuhl die kann ich er dieser anzapfen kann mir meine User und gucken einfach rausziehen kann dann meine Anwendungen ihr verwalten über er Vuelta dann als geht also nur um Webanwendungen Webservices aber eben auch um Webservices das heißt ich kann meine Rechte wie ich eine Anwendung gebe und den dazugehörigen wirksames daneben weitergehen das Ganze aussieht übertrugen Werberat wurden und es werden halt keine User können schützt von Anwendung zu Anwendung geschoben ich kann ihr Single-Sein und eben vor allem meine Webanwendungen nach das wird auch Portalen wieso kommt ein und die recht die rausgezogen und man meldet sich einmal an und ist in allen seinen Anwendungen authentifiziert ,komma Spielereien ich kann doch mit Google Konto anmelden und Facebook und alle haben es jetzt in den hauseigenen vielleicht nicht aber ziemlich cool und super schnell in Betrieb genommen danach andere kleine Tools
Ehrenoberst jahrelang wurde ist die Ablösung für das vorherige gesehen es verhindert Cross-Site-Scripting an muss man gucken ob man es auch ein wenig ich Wolfram benutzt was das automatisch oder wie Gugel Kieser für Verschlüsselung symmetrischer asymmetrische Schlüssel hier nochmal das Tool für die Puttkamer Deutsch von sich wohl die Tests der Oberst Coupons oh entfernen das war auch auf der Konferenz durch auch immer getroffen für die Terratec und der hatte dann was das vorgestellte sind dabei aktuell auf Open Source und gespannt ob es da vielleicht was zu bauen nämlich so eine komplette Umgebung Sergio die testfahren mit Docker-Containern das Bild sieht dann so
aus ziemlich abgefahren aber wenn Sie nachts mit scrollen weil wir haben wir dann so Dinge wie ne camunda BPM zum Beispiel einer mitgesteuert was passiert wenn ich jetzt irgendwo was finde wenn muss sich an Steuern hier unten brauchen die Tools zum Beispiel auch ist der Welt sehr forciert von vorhin diesen und andere Tools für einen Sieg über das konkrete speziellere Dinge aber ihre Anwendung gegen getestet wird und dann das Ganze wird dann wieder zusammengeführt in sondern Erlass Text soll Jobs der Skiba nahe der Sport um alles sich anzeigen zu lassen n ja sehr vielversprechend wird so viel ausprobieren kann
so was haben wir getan haben war richtig aufgestellt das ist schon mal gut und kurze präzise Anleitung aber formuliert und der kleine Tools in dem der Prozess eingeführt und der kontinuierlichen automatisiert Sicherheitstest durchgeführt das ist schon gut sei mit kann denke es gibt auch fertige sich Joko Linke 1 Jahr gibt es sowas wie von Herrn von Omas gibt so ein Bild von der Carnegie über City die sind aber auch sehr umfangreich also wenn man sich darf damit einsteigen will dann ist das glaube ich ziemlich schnell frustriert aber es ein wie auch der 200 Seiten durchackern muss mit auch schon ganz konkreten und technischen Details ich finde es einfach aus einem möchten zukommen und sagen was will ich eigentlich genug kümmern und das Bäuchlein und dass er weiter ich nach einer das sachliche Analysen sind wie gesagt ziemlich schnell auch in der Ausführung ist er entscheidend ist wenn man häufig Bauten ausliefert das ist bei dynamischen des Skandals viel länger dauern wird es auch und das kann die der Delivery Partner natürlich vor Schwierigkeiten stellen entweder die seltener aus oder ich nach dieser sich nur die Testern aber auch nicht immer die Damen und sich fragen welches was man da eigentlich welchen Kompromiss und eine vergeht ein Datum das ist das ganze alte Entwicklungs Workflow ein Key mussten nur wenn diese sich über die wachsen auch genauso aufgespielt und Verbreiterungen wie normale Praxis dann wird sich das etablieren und einverstanden ist und wenn man jetzt am Anfang werden mehrere 100 meinetwegen gefunden hat und dann meine besser gezogen hat es aber auch so in dem Thema drin dass man diese Wahl sind hatte ein Defekt er kleine Programmierfehler oder halt irgendwas was man wissen anders machen müsste um den viel um diese Verwundbarkeit gar nicht erst dazu die wird man danach ich nur machen wenn man das 10 mal in Chorbogen hat das 1. Mal wird man sich mit programmiert geh ich von aus ich bin und dann zu den ganzen Vortrag ist ein Artikel erschienen er sind schon ja in der Objekt Spektrum dann das was informieren Zeit für Fragen also
ich war hin und machen Sie ist es will nun ist wohl auch das ist Kosten für die nicht .punkt ich war zuvor in Mehr war so jung ist mir wenn also bevor trat sie zu es also Technik-Fans extrem wichtig haben meiner Frau Marvel ist hilfreich heute noch ein Schritt weiter nach links zu gehen also auch die produktiv wie der Seite wollen jetzt aussieht mit einzubeziehen denn er ganz viele der der Fehler die man macht will sind ja halt nicht die Technik Fehler also auch das aber Technik Bonn einfach fixen was man ganz schlecht sitzen kann sind für Kunst zum Zweck der Konzeption zu Produkt also says
in um welchen technischen Flows im Sinne von im Weg Passwort vergessen und man vergisst dass vielleicht auch irgendwo noch im Kundencenter ist wo das Wasser auch ändern kann und betrachte das einfach nicht ihre in diesem Fach Prozess am oder was soll man also noch 5 bin zu ja genau also ein Teil des sich auch man agiert getan dann auch in den Store ist schon irgendwie er deutlich zu berücksichtigen die große Hilfe kann wie die diese Kirche werden weil das ein vorgefertigtes tolles Erdmann relativ allgemein aber dann auch konkreter 49 10 Einsender schon drin kann manchmal gucke sind auch inzwischen gut strukturiert wir haben quasi als Überschrift bekanntzumachen ich hab das aufgemacht mal sehen doch können so sieht das zum Beispiel Auswirkungen sind Szenario formuliert ist also ob Sie und ich diese noch brav mit sie enorme überschrieben das heißt man findet auch eine Katalogen sofort wieder und was soll eine getestet werden das mache dann ganz ganz grobe Dinge hier haben ja wenn ich jetzt den Browser starte und mein Mann in das hat den Proxies richtig konfiguriert und lassen laufen dann will ich bitte nichts finden aber das ist wir haben war damit wurde aber es gibt halt irgendwo auch ganz konkrete Sachen in den einzelnen n 1 sind Doris die man sich hier auch anschauen kann zum Beispiel das habe er Authentifi Kirchen ja ganz lustige Sachen ein User angemeldet meldet sich ab dem Wochen soll gelöscht werden wenn er sich dann wieder anmeldet dann haben soll das funktionieren und was in der Art ist und wenn es dann nicht klappt dann kann schlägt der Jude Testfällen ja wo sie drin heraus nur fragen geht wie lange dauern die Schecks ungefähr euch dann die 1. Delticom mit stellt und die Testsieger die Wälzer gemacht damit einzig für die Praxis die brauchen nicht lange alles in sind und und dann jetzt erst am Anfang des gewesen aber die Comics trägt auch der Vulkan ausbricht Verfahren aber an 2 3 Minuten kriegen wir in das eben angesprochen dass wenn man zum Beispiel die Literatur oder die Empfehlung von der welche Universität was kann Gemälde nur wird genau die Zahlen relativ umfangreich aus 11 und Ernte sagte sie möchte man sich nicht unbedingt antun und dann fängt man quasi erst mal auf einem kleineren bescheideneren Level an wie es denn da einer Meinung zur Weiterentwicklung also sollte man nicht irgendwann quasi der ankommen weil wenn man den ganzen Aufwand fährt diese ganzen Bild Tests und so weiter automatisierter mitmacht dann kann das Management sagen sie kürt die es bei uns ein Thema das wird gemacht und da gibt's ganz viele bunte Bilder einer alles nicht ändern und er der Kunde zufrieden weil der sieht viele bunte Bilder produziert also super dann aber wir machen das auf unseren kamen so was wir gerade machen können was sie erzählt und wenn da quasi gar kein Bestreben ist das quasi auszuweiten mindestens auf das Level von Sonne Uni oder vielleicht da drüber hinaus dann bringt das ja nicht so dass es mehr Schau als quasi ich nachher wirklich dann Nutzen von habe ja ich muss mal gucken was ich investieren kann aber nicht viel investieren kann kann ich da kommt schneller voran grundsätzlich machen wirklich Iterationen stellen weiter Regen auf auf das jemals abgeschlossen ist oder zum Stand erreicht haben weil ich nicht weiß aber nicht ob es dann halt nur böse werden machen so viel machen können eine kations Tests finden ja trotzdem noch irgendwann statt zwischendurch wurden auch ein externer das wichtig checkt aber wenn die Ergebnisse der von halt viel kleiner aus als das was da rauskommt ist viel verständlicherweise den ganz einfachen kamen die von Scott ist so ja ich habe ich dann aber schon abgefangen und dann das das habe ich 1. tun kann aus Sicht der Entwicklung so viel wie mir möglich ist ok wenn keine Fragen sind dann viel Spaß noch und danke schön
Softwareentwicklung
Softwareentwicklung
HTTP
Softwareentwickler
Computeranimation
Serviceorientierte Architektur
Software
Internet
Großrechner
Softwareentwickler
ASTOR <Computerarchitektur>
Computeranimation
PDF <Dateiformat>
Programm
Formation <Mathematik>
Gebäude <Mathematik>
Penetrationstest
Prozessautomation
Softwareentwickler
Prozessautomation
Computeranimation
Ebene
Softwaretest
Betriebssystem
Softwareentwickler
Computeranimation
Quelle <Physik>
Programmiersprache
Monster-Gruppe
Internet
Software
App <Programm>
Web-Applikation
Online-Katalog
Information
Softwareentwickler
Computeranimation
WASP
Zusammenhang <Mathematik>
Matrizenmultiplikation
CAPE <Informatik>
App <Programm>
Online-Katalog
Computeranimation
WASP
Statische Analyse
Inverser Limes
Gebäude <Mathematik>
Project <Programm>
Softwareentwickler
Fokalpunkt
Computeranimation
WASP
Quelle <Physik>
Software
Softwareentwicklung
Rundung
Gebäude <Mathematik>
Online-Katalog
Umsetzung <Informatik>
Softwareentwickler
Frequenz
Computeranimation
Web-Applikation
Datenbank
Lag
Online-Katalog
Priorität <Informatik>
Web-Seite
Information
Jenkins CI
Code
Computeranimation
Repository <Informatik>
Code
Softwareentwickler
SQL
WASP
Parametersystem
Hibernate
Fehlermeldung
Erweiterung
Internet
Kraft
Open Source
Plug in
Fokalpunkt
Keller <Informatik>
Logdatei
Betafunktion
Version <Informatik>
Information
Jenkins CI
Ecke
Fehlermeldung
Datenmodell
Plug in
Softwareentwickler
Jenkins CI
Code
Computeranimation
Softwaretest
Proxy Server
Parametersystem
Statistik
Selenium <Software>
Dynamik
Datenparallelität
Tiefe
Laufzeit
Browser
Datenmodell
Datenbank
Tiefe
Abfrage
Sound <Multimedia>
Dienst <Informatik>
Web-Seite
Login
Code
JavaScript
Autorisierung
Code
Achse <Mathematik>
Benutzerführung
WASP
Tiefe
Project <Programm>
Computeranimation
Softwaretest
Mathematische Größe
Logdatei
Eindringerkennung
Parametersystem
SCI <Informatik>
Fehlermeldung
Binäres Entscheidungsdiagramm
Tabelle
SCP
Cookie <Internet>
Mischung <Mathematik>
Laufzeitsystem
ACCESS <Programm>
Gebäude <Mathematik>
Plug in
API
Computeranimation
Logdatei
Fahne <Mathematik>
Authentifikation
Vorzeichen <Mathematik>
Proxy Server
Rundung
URL
Softwareentwickler
WASP
Softwaretest
Facebook
Open Source
Web-Applikation
Laufzeitsystem
Computeranimation
Web Services
Cross-site scripting
Chiffrierung
Portal <Internet>
Code
Schlüsselverwaltung
Google
WASP
Softwaretest
Software
ALT <Programm>
Ordnungsbegriff
Gebäude <Mathematik>
Softwareentwickler
Binder <Informatik>
Computeranimation
Programmfehler
Softwaretest
Browser
Uniforme Struktur
Iteration
Online-Katalog
Passwort
HTTP
Softwareentwickler
Zahl
Computeranimation
Computeranimation

Metadaten

Formale Metadaten

Titel Sichere Softwareentwicklung
Serientitel FrOSCon 2016
Autor Kaps, Stephan
Lizenz CC-Namensnennung 3.0 Unported:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.
DOI 10.5446/32418
Herausgeber Free and Open Source software Conference (FrOSCon) e.V.
Erscheinungsjahr 2016
Sprache Deutsch

Inhaltliche Metadaten

Fachgebiet Informatik
Abstract Continuous Delivery (CD) ist in aller Munde. Zu Recht, denn neben der Möglichkeit, sehr frühzeitig Feedback zu neuen Entwicklungen zu erhalten, erlaubt CD durch Automatisierung von Build-, Deploy- und Testprozessen schnell, zuverlässig und wiederholbar Software auszuliefern, qualitativ hochwertig, mit niedrigem manuellen Aufwand und geringem Risiko. Doch wollen wir unsere Software kontinuierlich ausliefern, müssen wir auch kontinuierlich Sicherheits-Tests durchführen! Continuous Security Testing bedeutet, statische und dynamische Analysen bereits während der Entwicklung durchzuführen, um frühzeitig und regelmäßig Sicherheitsmaßnahmen umzusetzen, bevor manuelle Prüfungen wie Penetrationstests zum Einsatz kommen. Um eine Anwendung bereits während der Entwicklung auf das Vorhandensein sicherheitskritischer Schwachstellen hin überprüfen zu können, ist eine Integration in den Entwicklungsprozess und somit eine kontinuierliche und am besten automatisierte Prüfung notwendig. Der Vortrag stellt die praktischen Erfahrungen aus einem Projekt vor, bei dem Sicherheits-Richtlinien (Secure Coding Guide) für die eigene Entwicklung von Java-Webanwendungen aufgestellt und Sicherheitstests in den Softwareentwicklungsprozess integriert wurden. Dabei wird auf die organisatorischen, inhaltlichen und technischen Überlegungen eingegangen.

Ähnliche Filme

Loading...