Die Sicherheitstest-Pyramide für Entwickler
Die Testpyramide von Mike Cohn ist den meisten Entwicklern bekannt und wird innerhalb der testgetriebenen Entwicklung in Projekten eingesetzt.
Aber beinhaltet Eure Testpyramide auch Prüfungen der Anwendungssicherheit?
Kontinuierliche Anwendungssicherheit wird immer wichtiger, vor allem im Kontext der agilen Entwicklung und Continuous Delivery. Das heute noch praktizierte Muster der Penetrationstests kurz vor dem Produktivgang funktioniert nicht mehr. Stattdessen muss die Sicherheit für jedes Inkrement immer wieder aufs Neue überprüft werden.
Aus diesem Grund werden wir in diesem Talk die gesamte Testpyramide aus der Sicherheitsperspektive betrachten. Wir werden sehen, wie man das Sicherheitsniveau in Anwendungen verbessern kann, indem man effektive Sicherheitstests auf jeder Ebene der Pyramide hinzufügt. So ist es möglich, einen großen Teil der OWASP Top 10 Sicherheitskategorien automatisch abzudecken. Dies wird anhand von Live-Demos mit automatisierten Tests einer Java Anwendung u.a. für Authentifizierung, Autorisierung, Eingabevalidierung und SQL-Injections veranschaulicht.
Andreas Falk
Andreas Falk arbeitet seit mehr als zwanzig Jahren in Entwicklungsprojekten für Unternehmensanwendungen. Derzeit arbeitet er als Managing Consultant für die Novatec Consulting.
In verschiedenen Projekten ist er seither als Berater, Architekt, Coach, Entwickler und Tester tätig. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-nativen Enterprise Java-Anwendungen unter Verwendung der kompletten Spring-Plattform. Als Mitglied des Open Web Application Security Projects (OWASP) und der OpenID Foundation beschäftigt er sich auch gerne mit allen Aspekten der Anwendungssicherheit. Andreas ist auch ein häufiger Redner auf Konferenzen und gibt Workshops.