Konferenzprogramm

Die im Konferenzprogramm des GTD 2022 angegebenen Uhrzeiten entsprechen der Central European Time (CET).

Gerne können Sie die Konferenzprogramm auch mit Ihren Kolleg:innen und/oder über Social Media teilen.

Der Track+ besteht aus Präsentationen der Sponsoren und unterliegt somit nicht der Qualitätssicherung des Conference Boards.

Bitte beachten Sie, dass es für vereinzelte Workshops ggf. eine Teilnehmendenbeschränkung gibt. Weitere Infos hierzu finden Sie in den Workshop-Beschreibungen. 

Konferenzprogramm 2022

Thema: Security

Nach Tracks filtern
Nach Themen filtern
Alle ausklappen
  • Mittwoch
    04.05.
, (Mittwoch, 04.Mai 2022)
10:00 - 10:45
Mi2.1
Shift-Left-Security: Die Sicherheitstest-Pyramide
Shift-Left-Security: Die Sicherheitstest-Pyramide

Die Testpyramide von Mike Cohn dürfte den meisten Entwicklern ein Begriff sein. Aber beinhalten die Tests in Ihrem Projekt auch die Verifikation der Anwendungssicherheit? Im Kontext von agiler Entwicklung und Continuous Delivery ist ein 'Shift-Left' mit konkreten Security-Anforderungen und einer kontinuierliche Prüfung der Sicherheit essentiell. In diesem Talk werden wir die bekannte Testpyramide einmal aus der Sicherheitsperspektive betrachten. Wir werden lernen wie man effektive Sicherheitstests auf jeder Ebene der Pyramide hinzufügt. Dies wird durch entsprechende Live-Demos begleitet.

Zielpublikum: Architekten, Entwickler, Tester
Voraussetzungen: Grundlegende Java-Kenntnisse
Schwierigkeitsgrad: Advanced

Extended Abstract:
Die Testpyramide von Mike Cohn dürfte den meisten Entwicklern ein Begriff sein und wird innerhalb der testgetriebenen Entwicklung vielfach in Projekten eingesetzt.
Aber beinhaltet die Testpyramide auch die Verifikation der Anwendungssicherheit?

Im Kontext von agiler Entwicklung und Continuous Delivery ist eine kontinuierliche Prüfung der Anwendungssicherheit essentiell. Das heute häufig immer noch praktizierte Muster mit Penetrationstests kurz vor dem Produktivgang skaliert hier nicht mehr. 

Vielmehr müssen in jedem Sprint konkrete Anforderungen an die Sicherheit formuliert werden, welche dann mit entsprechenden (möglichst automatisierten) Tests verifiziert werden können. Nur so läßt sich ein wirkunsvolles Shift-Left für die Sicherheit erreichen.

In diesem Talk werden wir die bekannte Testpyramide einmal aus der Sicherheitsperspektive betrachten. Wir werden uns anschauen wie man effektive Sicherheitstests auf jeder Ebene der Pyramide hinzufügt. Auf diese Weise läßt sich tatsächlich ein großer Teil der OWASP Top 10 Sicherheitskategorien automatisch abtesten. 

Dies wird anhand von Live-Demos auf Basis einer Spring Boot Java Applikation mit automatisierten Tests u.a. für Authentifizierung, Autorisierung, Eingabevalidierung und SQL-Injection-Prevention praktisch veranschaulicht.

Andreas Falk arbeitet für die Novatec Consulting mit Sitz in Stuttgart. In verschiedenen Projekten ist er seither als Architekt, Coach, und Trainer im Einsatz. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-Nativen Java Anwendungen. Als Mitglied der OWASP Community und der OpenID Foundation beschäftigt er sich auch gerne mit diversen Aspekten der Anwendungssicherheit.

Andreas Falk
Andreas Falk
Vortrag: Mi2.1
Themen: Security

Vortrag Teilen

11:00 - 11:45
Mi2.2
SAST / DAST / IAST / RASP putting DevSecOps on steroids - Four fists and a Hallelujah
SAST / DAST / IAST / RASP putting DevSecOps on steroids - Four fists and a Hallelujah

Continuous Security testing is becoming more and more a key factor for success. Especially if we consider that the development and release process is speeding up enormously. Just imagine that your potential shippable product is going to production with a huge vulnerability or a back door open. The damage to your company and bad reputation would be even not measurable.
So how can we avoid this? How can we build- security -in? Let's leave the stone age behind, break down the security silo. In my talk I will show you how the four fists get implemented in your DevSecOps team and how they will improve your product's quality! 

Target Audience: Testers, Developers, Product Owner, decision makers
Prerequisites: none
Level: Advanced

Extended Abstract:
Continuous Security testing is becoming more and more a key factor for success. Especially if we consider that the development and release process is speeding up enormously. Just imagine that your potential shippable product is going to production with a huge vulnerability or a back door open. The damage to your company and bad reputation would be even not measurable.
So how can we avoid this? How can we build- security -in? Let's leave the stone age behind, break down the security silo and implement DevSecOps.

During my talk, I will tell you where you can implement and improve security testing. What different kinds of functional and non-function security testing methods are available and what are the low-hanging fruits.
On a high level, I will explain SAST / DAST / IAST / RASP and how your team could implement these methods with examples. Then I will lift it to the next level and show how you can add
security testing to your pipeline to get fast feedback to fix the vulnerabilities at a very early stage (shift left). By showing where to implement security tests in your software development lifecycle, I will explain where it makes sense
to have security as a deep skill part of your team and go for DevSecOps!

After I increased our transparency of security and showed you how to deal with 'the four fists', I will close my talk by presenting the 10 successful steps to DevSecOps.

Matthias Zax arbeitet als Agile Engineering Coach bei Raiffeisen Bank International AG (RBI). Eigentlich gelernter Software Developer und '#developerByHeart, beschäftigt er sich seit 2018 mit dem Testen von Software mit Schwerpunkt Testautomation im DevOps Umfeld und organisiert die RBI Testautomation Community of Practice.

Matthias Zax
Matthias Zax
Vortrag: Mi2.2
Themen: Security

Vortrag Teilen

12:45 - 14:45
Mi2.3
Limitiert Aktuelles zu Sicherheitstesten für web-basierte Anwendungen
Aktuelles zu Sicherheitstesten für web-basierte Anwendungen

Die Sicherheit von Web-Anwendungen ist ein schnell-lebiges Thema mit ständig neuen Schwachstellen. Als Tester ist es schwierig, damit in der täglichen Arbeit Schritt zu halten. Wir werden uns daher die neuen Einträge in den OWASP Top 10 der schwerwiegendensten Schwachstellen von Webanwendungen ansehen und wie man diese mit Methoden und Werkzeugen des Sicherheitstestens addressieren kann: Insecure Design, Software and Data Integrity Failures, sowie Server-Side Request Forgeries (SSRF). Konkret werden wir uns in Praxisaufgaben damit beschäftigen, wie man diese Schwachstellen mittels des Werkzeugs SonarQube finden und beheben kann.

Maximale Teilnehmerzahl: 15

Zielpublikum: Tester, Entwickler, Testmanager, Projektleiter mit Interesse an sicheren Web-Anwendungen
Voraussetzungen: Grundlegende Kenntnisse im Softwaretest
Schwierigkeitsgrad: Basic

Extended Abstract:
Jedes Jahr werden zigtausende Schwachstellen in Softwareanwendungen bekannt, mit desaströsen Auswirkungen für die Reputation der betroffenen Entwickler und die Daten ihrer Kunden, oft mit signifikanten finanziellen Schäden.
Die Sicherheit von Web-Anwendungen ist dabei ein schnell-lebiges Thema, bei dem ständig neue Schwachstellen relevant werden. Als Tester ist es schwierig, damit in der täglichen Arbeit Schritt zu halten
Wir werden uns daher die neuen Einträge in den OWASP Top 10 der schwerwiegendensten Schwachstellen von Webanwendungen ansehen und wie man diese mit Methoden und Werkzeugen des Sicherheitstestens addressieren kann: Insecure Design, Software and Data Integrity Failures, sowie Server-Side Request Forgeries (SSRF). Konkret werden wir uns in Praxisaufgaben damit beschäftigen, wie man diese Schwachstellen mittels des Werkzeugs SonarQube finden und beheben kann.
Beim Sicherheitstesten müssen wir dabei wie ein Angreifer denken können. In diesem Tutorial werden wir uns daher in das Gehirn des Angreifers schleichen und auf seine Art zu denken lernen. Dazu basiert das Tutorial auf einem praktischen Einsatz des Softwareanalysewerkzeugs SonarQube seitens der Teilnehmer. So werden wir lernen, wie wir die dort umgesetzten Sicherheitstests nutzen können und diese automatisch ausführen lassen können. Diese Tests spiegeln die Best Practices in der Entwicklung sicherer Web-Anwendungen wieder.
Das Tutorial ist entlang praktischer Übungen mittels open-source Werkzeugen für das Sicherheitstesten strukturiert, für die ein eigener Laptop mitgebracht werden sollte. Konkret sind dies u.a. die Software-QS-Plattform SonarQube, die wir für Sicherheitstests verwenden werden. Dabei werden wir aus erster Hand erfahren, wie Angreifer bei der Schwachstellensuche vorgehen, was uns dabei hilft, solche Schwachstellen zu vermeiden.

Jan Jürjens ist Director Research Projects am Fraunhofer ISST und leitet als Professor für Software Engineering das Institut für Softwaretechnik an der Universität Koblenz. Sein Arbeitsschwerpunkt ist die Entwicklung und das Testen sicherheitskritischer Software, für die er Ansätze und Werkzeuge in Kooperation mit Unternehmen entwickelt. Er ist Autor des Buches 'Secure Software Development with UML', das auch ins Chinesische übersetzt wurde.

Jan Jürjens
Jan Jürjens
Track: Workshop
Vortrag: Mi2.3
Themen: Security

Vortrag Teilen

Zurück