In dieser Session werden wir neue Herausforderungen im Bereich Sicherheit durch die Einführung agiler Prozesse beleuchten. Wir beschreiben die notwendigen Schritte, um nicht nur Sicherheit in agilen Prozessen zu etablieren, sondern auch alle (in)direkt an der Entwicklung Beteiligten – von den Entwicklern bis ins Management – in diese Prozesse zu integrieren. Das Portfolio an Maßnahmen reicht von Trainings über Tools bis zu neuen Rollen, die ausgefüllt werden müssen.
Da nicht jedes Projekt die gleichen Sicherheitsanforderungen hat, schlagen wir ein abgestuftes Verfahren vor. Schließlich nennen wir Ansätze, die sich als nicht zielführend erwiesen haben.
Vorkenntnisse
Die Besucher sollten möglichst mit agilen Entwicklungsprozessen vertraut sein. Die Kenntnis der entsprechenden Prozesse sollte mindestens theoretischer Natur sein. Im besten Falle existiert darüber hinaus bereits praktische Erfahrung.
Hilfreich - aber nicht notwendig - ist Vorwissen rund um das Thema Sicherheit, insbesondere bezüglich statischer oder dynamischer Analyse sowie Penetrationstests.
Lernziele
* Dieser Beitrag verfolgt primär das Ziel, die in unseren Projekten gemachten Erfahrungen im Bereich "Sicherheit in agiler Software-Entwicklung" mit Anderen zu teilen. Dabei sollen die erfolgreichen Ansätze im Vordergrund stehen, aber auch Erfahrungen mit weniger ergiebigen Schritten sollen diskutiert werden. Wir hoffen auch auf Feedback von Zuhörern und deren Erfahrungen.
* Die Zuhörer sollen durch den Vortrag lernen, wie Sicherheitseigenschaften von Softwareprodukten bereits zur Entwicklungszeit etabliert werden können.
// Bastian Braun
arbeitet als Senior Consultant IT Security bei mgm security partners. Er unterstützt Entwicklerteams bei der Integration von IT-Sicherheit, gibt Seminare für Entwickler, Projektleiter, Entscheidungsträger und Penetrationstester und führt Produkt- und Sicherheitsanalysen durch. Bastian ist Mitglied des deutschen OWASP Board und regelmäßiger Sprecher auf einschlägigen Konferenzen.