Es wird allgemein anerkannt, dass Sicherheitstests so früh wie möglich im Softwareentwicklungslebenszyklus angewendet werden sollten. Dies erfordert Sicherheitstestwerkzeuge, die für Entwickler einfach zu bedienen sind. Aus diesem Grund sollten Entwickler auch an der Auswahl und dem Roll-out solcher Tools teilnehmen.
In diesem Vortrag werde ich Ihnen einen Überblick darüber geben, was man von (kommerziellen) Sicherheitstestwerkzeugen erwarten kann. Außerdem berichte ich über meine Erfahrungen bei der Einführung solcher Tools in eine große Entwicklungsorganisation.
Vorkenntnisse
Grundkenntnisse der sicheren Softwareentwicklung und von Software-Schwachstellen.
Lernziele
In diesem Vortrag lernen Sie,
* welche Art von Software-Schwachstellen Sie durch weit verbreitete statische und dynamische Test-Tools zur Applikationssicherheit erkennen bzw. nicht erkennen können
* wie Sie verschiedene dieser Tools vergleichen und jene auswählen, die Ihren Bedürfnissen entsprechen
* welche Anforderungen ein Sicherheitstest-Tool in Bezug auf die verschiedenen Software-Entwicklungsmodelle und Schritte eines sicheren Software-Entwicklungslebenszyklus erfüllen muss
* welche Faktoren für die effektive und effiziente Verwendung von Sicherheitstest-Tools Sie kennen sollten
//
Achim D. Brucker
@adbrucker
leitet das Software Assurance & Security Research Team (https://logicalhacking.com) der Universität Sheffield. Bis Dezember 2015 war er als Stratege im Bereich statische und dynamische Sicherheitstests im zentralen Security Team der SAP SE, wo er unter anderem die Securitytest-Strategie der SAP definiert hat. Weitere Informationen: www.brucker.ch.