Shift-Left-Security: Die Sicherheitstest-Pyramide

Die Testpyramide von Mike Cohn dürfte den meisten Entwicklern ein Begriff sein und wird innerhalb der testgetriebenen Entwicklung vielfach in Projekten eingesetzt. Aber beinhaltet Ihre Testpyramide auch die Verifikation der Anwendungssicherheit?

Im Kontext von agiler Entwicklung und Continuous Delivery ist eine kontinuierliche Prüfung der Anwendungssicherheit essentiell. Das heute häufig immer noch praktizierte Muster mit Penetrationstests kurz vor dem Produktivgang skaliert hier nicht mehr.

Vielmehr müssen in jedem Sprint konkrete Anforderungen an die Sicherheit formuliert werden, welche dann mit entsprechenden (möglichst automatisierten) Tests verifiziert werden können. Nur so läßt sich ein wirkungsvolles Shift-Left für die Sicherheit erreichen.

In diesem Vortrag werden wir die bekannte Testpyramide einmal aus der Sicherheitsperspektive betrachten. Wir werden uns anschauen wie man effektive Sicherheitstests auf jeder Ebene der Pyramide hinzufügt. Auf diese Weise läßt sich tatsächlich ein großer Teil der OWASP Top 10 Sicherheitskategorien automatisch abtesten. Dies wird anhand von Live-Demos auf Basis einer Spring Boot Java Applikation mit automatisierten Tests u.a. für Authentifizierung, Autorisierung, Eingabevalidierung und SQL-Injection-Prevention praktisch veranschaulicht.

 

Referent: Andreas Falk, Novatec Consulting GmbH

Andreas Falk arbeitet für die Novatec Consulting GmbH mit Sitz in Stuttgart. In verschiedenen Projekten ist er seither als Architekt, Coach, und Trainer im Einsatz. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-Nativen Java Anwendungen. Als Mitglied der OWASP Community und der OpenID Foundation beschäftigt er sich auch gerne mit diversen Aspekten der Anwendungssicherheit.

Key Facts

Themengebiet: Agile Testing

Datum und Uhrzeit: 04. November 2021, 11:15 bis 12:00

Raum: Paris

Copyright © 2021 HLMC Events GmbH