Konferenz für Continuous Delivery, DevOps und Containerisierung
Mannheim, Congress Center Rosengarten,
10.-12. November 2015

Continuous Lifecycle 2015 » Programm »

// Infrastructure as Secure Code

Jenseits der nachhaltigen Veränderung der IT-Landschaft durch die Einführung von DevOps-Tools ergeben sich Möglichkeiten, die noch nicht hinreichend erkundet sind: Eine Applikation wird durch ihren Code vollständig beschrieben, und seit Langem sind Werkzeuge zur statischen oder dynamischen Analyse des Quellcodes etabliert, die sicherheitsrelevante Fehler nicht erst im Live-Betrieb spürbar werden lassen, sondern vorher abfangen. Wird IT-Infrastruktur in Form von Code beschrieben, lässt sich das nicht nutzen, um frühzeitig Sicherheitseigenschaften zu prüfen?

Dieser Frage nachgehend werden Ansätze und ihre Einschränkungen präsentiert, und die weiteren Möglichkeiten für "SecDevOps" diskutiert.

Skills
Erfahrungen mit Infrastructure as Code in seinen unterschiedlichen Ausprägungen (z.B. Chef oder Puppet) sind von Vorteil.

Lernziele
* Es werden ein aktueller Stand der Forschung zu dem Thema vorgestellt sowie dessen praktischer Nutzen und vorhandene Einschränkungen diskutiert.
* Jenseits der theoretischen Präsentation werden konkrete Beispiele dargelegt und derzeit existierende, sofort einsetzbare Werkzeuge demonstriert.

// Referent

// Jörn Eichler Jörn Eichler

hat sich nach mehreren Jahren in internationalen Softwareprojekten auf Softwaresicherheit konzentriert. Zunächst im Testlabor des Fraunhofer SIT und nun als Leiter Secure Software Engineering im Fraunhofer AISEC untersucht er Schwachstellen und den Lebenszyklus sicherer Anwendungen.