Automated Security-Testing in Continuous Integration

Dieser Vortrag wird nach Wunsch des Publikums auf Deutsch oder Englisch gehalten. This presentation will be held in German or English according to the wishes of the audience.

Everyday we hear news about new vulnerabilities and exploits, with effects threatening the user data and the existence of whole companies. To protect ourselves and our systems, we need to make sure to create and use up to date software. We can enhance our existing tooling with frameworks that automatically scan for known vulnerabilities in dependencies, containers and (web) APIs within our existing development and operation cycles.

The talk will cover open source frameworks and showcase their usage and benefits in a live demo, using OWASP dependency-check, CoreOS Clair and OWASP ZAProxy.

Fast täglich liest man von Sicherheitsproblemen in (Web-)Anwendungen, zum Teil mit verheerenden Auswirkungen für Firmen und Verbraucher. Zum Schutz sensibler Daten müssen wir in der Entwicklung und im Betrieb stets sicherstellen, dass wir auf bekannte Schwachstellen reagieren und Systeme und Software auf dem aktuellsten Stand halten können.

Um möglichst schnelles Feedback über aktuelle Probleme zu bekommen, empfiehlt es sich, automatisiert nach bekannten Schwachstellen zu suchen. Hierzu bietet sich die Erweiterung bestehender Continuous-Integration-Pipelines an.

Im Vortrag mit Live-Demo werden mehrere Open-Source-Frameworks vorgestellt, mit deren Hilfe man automatisiert Schwachstellen in (Java-)Dependencies, Container-Images und Webapplikationen finden kann. Hierzu werden OWASP Dependency-Check, CoreOS Clair und OWASP ZAProxy genutzt.

Vorkenntnisse

Basic knowledge of continuous integration

Grundkenntnisse über Continuous Integration

Lernziele

The audience will learn
* ways to continually secure their software without actively running tests or following news about information security and vulnerability disclosure
* that security testing provide basic protection and should be treated equally important to functional and integration tests

Der Zuhörer lernt,
* dass man sich und seine Software automatisiert absichern kann, ohne ständig aktiv irgendwelche Tests auszuführen oder News bzw. aktuelle Schwachstellen zu verfolgen.
* dass Sicherheitstests, genau wie fachliche und integrative Softwaretests, eine Grundabsicherung bieten und "nebenbei" ohne aktive Teilhabe des Entwicklers laufen.

 

Speaker

 

Christian Kühn
Christian Kühn ist auf dem Weg von Ops zu Dev in der Mitte hängengeblieben! Senior Systementwickler und Berater, Mitorganisator des DevOpsMeetup Karlsruhe, hält Vorträge und schreibt Artikel zu Themen aus DevOps, Cloud und Sicherheit.

Platin-Sponsor

Gold-Sponsoren

Silber-Sponsoren



CLC-Newsletter

Sie möchten über die Continuous Lifecycle
auf dem Laufenden gehalten werden?

 

Anmelden