Automatisiertes Security-Testing in Continuous Integration
Fast täglich liest man von Sicherheitsproblemen in (Web-)Anwendungen, zum Teil mit verheerenden Auswirkungen für Firmen und Verbraucher. Zum Schutz sensibler Daten müssen wir in der Entwicklung und im Betrieb stets sicherstellen, dass wir auf bekannte Schwachstellen reagieren, unsere Systeme und Software patchen und aufm dem aktuellsten Stand halten können.
Um möglichst schnelles Feedback über aktuelle Probleme zu bekommen, empfiehlt es sich, automatisiert nach bekannten Schwachstellen zu suchen. Hierzu können vorhandene Continuous Integration - Pipelines erweitert werden.
Im Vortrag mit Live-Demo werden mehrere Open Source Frameworks vorgestellt, mit deren Hilfe man automatisiert Schwachstellen in Dependencies, Container-Images und Webapplikationen finden kann.
Christian Kühn
Christian Kühn ist Senior Systementwickler bei synyx und ist in den Bereichen Softwareentwicklung und Systemadministration tätig. Derzeit beschäftigt er sich mit Microservices und DevOps-Themen. Nebenher ist er Mitorganisator beim DevOps Meetup Karlsruhe.
(Twitter: @CYxChris)