Blog

Alle Beiträge in der Kategorie 'Security'

BSides in Hamburg – aka Elbsides

Mit den Elbsides 2019 kommen die BSides endlich nach Hamburg. Und wir von Holisticon möchten das Format von Anfang an unterstützen und sind deswegen Silber Sponsor
Jede BSides ist community-getrieben. Dabei ist besonders der Austausch zu verschiedenen Sicherheitsaspekte die treibende Idee dahinter. Sicherheit soll über die traditionellen (teilw. organisatorischen) Grenzen hinweg diskutiert und weiter getragen werden.

Es ist eine intensive Veranstaltung mit Diskussionen, Demos und Interaktion der Teilnehmer. Für Holisticon ist Sicherheit ein integraler Bestandteil jedes Software-Projektes und einfach nicht mehr wegzudenken.
Umso wichtiger ist es, dass das BSides Format jetzt auch in Hamburg vertreten ist.

Es gibt auch einen englischen Medium-Teaser zu den Elbsides.

Continuous Security @ EnterJS

EnterJS: Security at the next level

Ich hatte auch dieses Jahr wieder das Vergnügen, als Vortragender auf der enterJS sprechen zu dürfen. Mein Talk „Continuous Security auf dem nächsten Level“ (Slides sind online abrufbar) traf den richtigen Nerv, um das Thema Sicherheit von verschieden Ebenen zu beleuchten und ihm so mehr Raum einzuräumen. Dabei gehe ich nicht nur auf methodische Maßnahmen ein, sondern zeige auch technische Hilfsmittel, die an verschiedenen Punkten des Softwareentwicklungsprozesses ansetzen.
Pete Cheslock hat es wunderbar in einem Tweet zusammengefasst:

Es nutzt relativ wenig, Sicherheit erst bei Inbetriebnahme mit Penetrationstests zu adressieren. Vielmehr muss ganzheitlich vorgegangen werden. indem das Thema analog zu DevOps an verschiedenen Stellen berücksichtigt wird. Dabei können einerseits Tools zum CodeScanning wie Sonar oder auch OWASP-Tools wie Zed Attack Proxy (ZAP) genauso helfen, wie andererseits, dass das Scrum-Team schon beim Planning die Sicherheit mit berücksichtigt.

Das Feedback zu meinem Talk und die anschließenden Gespräche zu dem Thema waren sehr positiv und bestärken mich darin, dass dem Thema im agilen Softwareentwicklungszyklus mehr Raum gegeben werden muss.

Continuous Security at the next level

Gerade vor dem Hintergrund von immer kürzeren Releases (Continuous Delivery und Continuous Integration) wird häufig die Sicherheit vernachlässigt. Durch die Schnelligkeit und Häufigkeit von Deployments steht besonders die IT-Sicherheit vor neuen Herausforderungen und es sind ähnlich wie bei der DevOps-Intitiative weitere Maßnahmen nötig, um die IT-Sicherheit und die Entwicklung enger zu verzahnen. Neben der klassischen Java-Architektur gilt es bei einer solchen Betrachtung auch die gerade aktuell sehr populären JavaScript-Umgebungen miteinzubeziehen. Deren Schnelllebigkeit bringt dabei eine weitere Dimension in die Betrachtung, die aber damit auch eine Chance bietet, wie im Folgenden dargestellt wird.
weiterlesen