Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde, um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.
Daniel Kefer
Daniel Kefer kommt ursprünglich aus Tschechien, wo er seit 2007 als Berater mit Application Security Themen (Penetration Testing, Secure SDLC) unterwegs war. Seit 2011 arbeitet er für 1&1, wo er zur Zeit das Application Security Team im Bereich Portal (vor allem Marken GMX, web.de und mail.com) leitet. Abgesehen vom SecurityRAT arbeitet er in seiner Freizeit noch am OWASP SAMM Projekt.
René Reuter
René Reuter ist ein Security Engineer mit über 5 Jahren Erfahrung im Bereich Application Security. Bei der Robert Bosch GmbH arbeitet er als IT Security Consultant und ist verantwortlich für die Identifizierung von Sicherheitslücken und Design Schwachstellen, die Robert Boschs' Applikationen und Infrastruktur gefährden könnten. René besitzt einen Master Abschluss in Informatik von der Hochschule Karlsruhe.