Warum wir eine Developer-Security-First-Strategie brauchen?
Die größte Herausforderung bei der Anwendungssicherheitsprüfung (Application Security Testing – AST) besteht darin, dass die meisten in Unternehmen dafür eingesetzten Tools nicht auf Entwickler ausgerichtet sind. Um genaue AST-Ergebnisse von diesen Tools zu erhalten, sind Sicherheitsexperten für das Sortieren und die Analyse erforderlich, bevor Empfehlungen an Entwickler weitergeleitet werden.
Dieser Arbeitsablauf verlangsamt die Pipelines und Sie sind nicht in der Lage, die Anforderungen des heutigen Softwareentwicklungszyklus (SDLC) zu erfüllen. Die Realität zeigt uns, dass späte bis keine Schwachstellenberichte, langes Sortieren und False Positives (Fehlalarme) die Auslieferung der Software verzögern.
Wir präsentieren in diesem Vortrag eine Developer-Security-First-Strategie, die Kunden geholfen hat, höchstmögliche Genauigkeit beim Detektieren von Vulnerabilities zu erhalten – von der ersten Zeile Code bis hin zur Produktion. Die Strategie erlaubt es Kunden außerdem, dem Applikationsteam ein kurzes Feedback der Ergebnisse zu geben, um Security-Herausforderungen, wie Bugs im Custom Code zu beheben. Oft sehen wir auch nicht behobene Sicherheitslücken in Custom Code und Libraries zur Laufzeit, hier geben wir Ihnen Einblicke in Schutzmaßnahmen und die Möglichkeit eines kontinuierlich laufenden Pen-Tests.
Vorkenntnisse
Teilnehmende sollten ein grundlegendes Verständnis für den SDLC-Prozess sowie Erfahrungen mit Static Application Security Testing mitbringen.
Lernziele
Teilnehmende lernen, wie eine Developer-Security-First-Strategie für eine moderne Entwicklung umgesetzt werden kann, anschaulich dargestellt anhand der Live-Demo einer Beispielapplikation namens "Terra Cotta Bank".