In diesem Vortrag wird erläutert, wie Penetrationstests bereits in den Entwicklungsprozess integriert werden können, damit nach Fertigstellung und im Rahmen des Continuous Delivery die Software abgesichert ist.
Es werden die Erstellung von Evil User Stories erklärt und erläutert, wie diese in den Sprint Meetings berücksichtigt werden müssen. Außerdem wird dargestellt, welche Prüfungen in die automatisierten Softwaretests integriert werden können und abgegrenzt, welche Bereich manuell zu prüfen sind. Unterstützend dazu wird erläutert, wie die Sicherheitsarchitektur zu konzipieren ist, damit die automatischen Tests sinnvoll umgesetzt werden können.
Vorkenntnisse
Der Besucher muss das Vorgehen der agilen Entwicklung verinnerlicht haben. Weitere Vorkenntnisse sind nicht nötig.
Lernziele
* Die Besucher lernen, was Evil User Stories sind und wie diese berücksichtigt werden müssen.
* Außerdem wird gelehrt, wie Sicherheitsprüfungen in die automatisierten Software-Tests integriert werden können.
* Zusätzlich lernen die Teilnehmer, wo die Grenzen der Testautomatisierung sind und wo manuelle Prüfungen zwingend erforderlich sind.
* Die Teilnehmer lernen außerdem, wie die Sicherheitsarchitektur aufgebaut werden muss, damit diese für automatisierte Tests verwendet werden können.
//
Christoph Haas
@securai
ist Geschäftsführer der Securai, die sich der Applikationssicherheit verschrieben hat. Seit über zehn Jahren ist er im Bereich der IT-Security und ist dort als Penetrationstester und Berater tätig. Er hat außerdem mehrere Fachartikel, unter anderem in der iX, veröffentlicht und bloggt unter //secur.ai/blog über sichere Entwicklung.