RÜCKBLICK AUF DAS PROGRAMM 2021
Agile Threat Modeling: Bedrohungsmodellierung als Teil von DevSecOps
Agile Software-Entwicklung und kontinuierliches Threat Modeling: Geht das? Ja, und zwar ganz getreu dem DevSecOps-Sinne mittels “Threat-Model-as-Code”!
Sehen Sie in dem Talk die Ideen hinter diesem Ansatz: Entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus, ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen: In IDEs editierbare und in Git diffbare Modelle, interaktive Modellerstellung, automatisch regel-basiert abgeleitete Risiken sowie grafische Diagramm- und Reportgenerierung inkl. Mitigationsmaßnahmen.
Zielpublikum: Architekt:innen, Entwickler:innen, Security Consultants
Voraussetzungen: Architekturerfahrung & Security-Interesse
Schwierigkeitsgrad: Fortgeschrittee
Extended Abstract:
Nachdem die Herausforderung, Security in agile Projektmethoden und DevOps-Verfahren zu integrieren, mittels DevSecOps angegangen wurde, steht direkt das nächste Integrationsproblem vor der Tür: Bedrohungsmodellierung!
Wenn wir durch Pipeline-as-Code zuverlässig, reproduzierbar und jederzeit schnell unsere Software bauen können und nun auch durch passende Werkzeuge Securityscans automatisiert haben, wie können wir dann die Risikolandschaft unserer Projekte ebenfalls schnell erfassen?
Eigentlich geschieht so etwas in aufwendigen Workshops mit viel Diskussion sowie Modellarbeit am Whiteboard mit Kästchen, Pfeilen & Wölkchen. Diese Veranstaltungen sind durchaus sinnvoll und wichtig, da nur mit dieser Tiefe manche Bedrohungen in einer Architektur rechtzeitig erkannt werden. Schade nur, dass es meistens dann auch aufhört: Anstelle eines lebenden Modells entsteht ein langsam aber sicher erodierendes Artefakt.
Um diesem Verfallsprozess entgegenzuwirken, muss etwas Kontinuierliches her, etwas wie "Threat-Model-as-Code" im DevSecOps-Sinne. Sehen Sie in diesem Talk die Ideen hinter diesem Ansatz: Agiles und entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus — ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen.
Ergebnis? In Entwickler-IDEs editierbare und in Git diffbare Modelle, automatisch regel-basiert abgeleitete Risiken inklusive grafischer Diagramm- und Reportgenerierung mit Mitigationsmaßnahmen. Die Architektur ändert sich? Ein erneuter Lauf liefert die aktuelle Risikosicht …
Christian Schneider ist als freiberuflicher Whitehat Hacker, Trainer und Security-Architekt tätig. Als Software-Entwickler mit über 20 Jahren Erfahrung fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security. Er berät DAX-Konzerne und mittelständische Unternehmen im Bereich der sicheren Software-Entwicklung durch Security Architecture Consulting und Penetrationtesting. Sein aktuelles Lieblingsthema ist agiles Threat Modeling im Rahmen von DevSecOps.
Christian Schneider
17:00 - 18:00
Vortrag: Do 9.4
Vortrag Teilen
