Möchten Sie mit Ihrem Team teilnehmen? Ab drei Personen profitieren Sie von unseren Gruppenrabatten! Direkt im Shop buchen!

Die Leiche im Keller: Sicherheitsrisiken von CI/CD-Systemen

Continuous-Integration- und -Delivery-Systeme sind in unserer heutigen Entwicklungslandschaft omnipräsent. Sie erlauben das Automatisieren repetitiver Tätigkeiten sowie den regelmäßigen Einsatz diverser Sicherheitstools. Dadurch helfen sie Entwicklerinnen und Entwicklern sich stärker auf ihre eigentliche Tätigkeit zu fokussieren.

Unglücklicherweise werden die dafür verwendeten Systeme aber oft als einfache Werkzeuge betrachtet, mit denen man sich nicht näher beschäftigen muss. Stattdessen müssen wir sie aber als das sehen, was sie letztlich sind: ein zentrales System mit oft unbegrenzten Berechtigung auf die restliche Infrastruktur. Damit gehen substantielle Sicherheitsrisiken einher, die es einzugrenzen beziehungsweise zu beseitigen gilt.

Dieser Vortrag erläutert die mit CI/CD-Systemen einhergehenden Sicherheitsrisiken basierend auf der "OWASP Top 10 CI/CD Security Risks"-Liste und ergänzt sie um "War Stories" aus realen Sicherheitsüberprüfungen von CI-Systemen.

Vorkenntnisse

Grundkenntnisse in IT-Security sowie dem Verwenden von CI Systemen.

Lernziele

Teilnehmende sollten im Anschluss in der Lage sein, das entsprechende Gefahrenpotenzial in der eigenen Organisation realistischer einzuschätzen sowie notwendige Gegenmaßnahmen zu initiieren.

Speaker

 

Mathias Tausig
Mathias Tausig ist gelernter Mathematiker und hat Berufserfahrung als Security Officer, Entwickler, SysAdmin sowie als Fachhochschullektor für IT-Security. Aktuell ist er als Security Consultant unter anderem mit Penetrationstests, Schulungen und Application Security beschäftigt. Als Speaker war er unter anderem bei der heise devSec, sec4dev, WeAreDevelopers, Linuxwochen und dem CCC Easterhegg.

CLC-Newsletter

Sie möchten über die Continuous Lifecycle und die ContainerConf auf dem Laufenden gehalten werden?

 

Anmelden