Automatisierte Sicherheitstests: Stärken und Schwächen und wie man damit umgeht
In der agilen Entwicklung sind automatisierte Sicherheitstests unumgänglich. Techniken wie Sourcecode-Analyse oder dynamisches Testing haben dabei unterschiedliche Stärken und Schwächen.In diesem Vortrag wird eine Methodik vorgestellt, die es sicherheitsaffinen Entwicklern ermöglicht zu bewerten, inwieweit die Testsysteme funktionieren und sie umfassend prüfen. Die Methode konzentriert sich auf das systematische Ermitteln von "blinden Flecken". Die Zuordnung, welche Teile der OWASP Top Ten bzw. der API Security Top Ten automatisiert prüfbar sind, wird auch dargestellt. Außerdem wird erläutert, welche Szenarien nicht in den Stärken der Scanner fallen und wie Entwickler damit umgehen können.
Lernziele
Sicherheitsaffine Entwickler*innen lernen die Stärken und Schwächen der Testautomatisierung im Sicherheitsbereich kennen. Außerdem wird ausführlich erklärt, wo die blinden Flecken der Scanner zu finden sind. Zusätzlich wird gezeigt, welche Prüfungen hervorragend durch selbst entwickelte Testschritte umsetzbar sind.
Speaker
Christoph Haas ist Geschäftsführer der Securai GmbH, die sich der Applikationssicherheit verschrieben hat. Seit über zehn Jahren ist er im Bereich der IT-Security und dort als Penetrationstester und Berater tätig. Er hat außerdem mehrere Fachartikel, unter anderem in der iX, veröffentlicht und bloggt unter secur.ai/blog über sichere Entwicklung.