Konferenzprogramm
Unsere Empfehlung: Die Virtual Deep Dives
Mehr als 30 Jahre OOP-Erfahrung trifft auf moderne Innovation: Taucht mit uns tief in die wichtigsten Themen gegenwärtiger Software-Architektur ein – auf den "Virtual Deep Dives | powered by OOP".
Diese Konferenz versteht sich als Online-Ergänzung zur OOP München und bietet die Möglichkeit, sich intensiv und interaktiv mit den neuesten Trends und Best Practices in der Software-Architektur auseinanderzusetzen. Unsere Expert:innen und Branchenführer werden tiefe Einblicke in ihre Arbeitsweise geben und wertvolles Wissen teilen, das Sie direkt in Ihre Projekte integrieren können.
» Zu den Virtual Deep Dives
Rückblick auf das Programm der OOP München 2024
Die im Konferenzprogramm der OOP 2024 angegebenen Uhrzeiten entsprechen der Central European Time (CET).
Ignorieren bis es knallt? Security-Analysen aus Entwickler- und Management-Perspektive
Statische Analysetools liefern Security-Findings, aber ihre Wirksamkeit wird durch hohe Fehlalarme beeinträchtigt. Entwickler ignorieren diese, während das Management sie als kritisch betrachtet, sowohl aufgrund möglicher Angriffe als auch im Hinblick auf Security-Audits. Dadurch entstehen unnötige Kosten und Verzögerungen. In unserem Vortrag teilen wir 10 Jahre Erfahrung, präsentieren typische Sicherheitsprobleme und effektive Analyseansätze. Zudem stellen wir bewährte Methoden für kontinuierliches Monitoring und Schwachstellenabbau vor.
Zielpublikum: Entwickler:innen, Architekt:innen und Manager:innen mit Verantwortung für Security
Voraussetzungen: Interesse an hoher Sicherheit von Software
Schwierigkeitsgrad: Anfänger
Extended Abstract:
Es gibt inzwischen viele statische Analysetools, auch kostenlose, die Security-Findings für die eigene Code-Basis erzeugen. Diese potenziellen Sicherheitslücken werden jedoch sehr unterschiedlich wahrgenommen: Aus Entwickler-Perspektive ist es oft frustrierend, wie hoch der Anteil an False Positives (also Fehlalarmen) ist. Daher sehen wir in vielen Projekten, dass die Findings ignoriert oder im Analysetool abgeschaltet werden. Aus Management-Perspektive werden solche Findings jedoch oft als kritisch bewertet. Einerseits, weil einige davon tatsächliche Angriffe ermöglichen. Andererseits, weil solche Findings bei einem (vorgeschriebenen) Security-Audit oft selbst dann aufschlagen, wenn es sich um False Positives handelt. Allerdings sind diese Findings dem Management oft bis zu einem konkreten Audit unbekannt. In Kombination führen diese beiden Perspektiven dazu, dass die Findings ignoriert werden, bis es knallt. Das ist nicht nur schmerzhaft für alle Beteiligten, sondern auch unnötig teuer, da die späte Behebung von Findings viel teurer ist, als ihre frühe Vermeidung. Im Vortrag fassen wir 10 Jahre Erfahrung aus der Analyse von vielen Systemen in unterschiedlichsten Branchen zusammen. Dabei geben wir einen Überblick, welche Security-Probleme wir typischerweise finden und durch welche Analyseansätze sie aufgedeckt werden können. Außerdem präsentieren wir ein Vorgehen zum kontinuierlichen Monitoring und Abbau von Schwachstellen, das sich bei verschiedenen Teams bewährt hat.
Nils Göde ist Experte für Software-Qualität und leitet bei der CQSE das Team Software-Audits. Er besitzt langjährige Erfahrung in der Bewertung der Zukunftssicherheit komplexer Softwaresysteme.
Ann-Sophie Kracker ist Beraterin für Software-Qualität. Sie betreut Kunden aus verschiedensten Branchen, um eine langfristige Steigerung der Software-Qualität sicherzustellen.
Nils Göde,
Ann-Sophie Kracker
Vortrag Teilen
