Wie praxistauglich ist “DevSecOps" wirklich? – Ein Erfahrungsbericht

DevOps beschreibt das Prinzip der Zusammenführung zweier eigentlich getrennt arbeitender Teams im Rahmen der agilen Softwareentwicklung. Ziel ist die Verbesserung der Qualität und vor allem die Beschleunigung der Auslieferung. Die Security wird oft außen vor gelassen. Dies wird im Konzept DevSecOps aufgegriffen und um das Team der Security erweitert. Doch funktioniert das auch in der Praxis?

In diesem Vortrag teilen wir unsere langjährigen Erfahrungen aus einem großen, hochagilen Projekt. Wir zeigen unsere Erfolge, aber auch unsere Fehler im Bereich DevSecOps. Diese Lessons learned helfen Verantwortlichen, Probleme früh zu erkennen und mit Hilfe von Best Practices diesen vorzubeugen

Vorkenntnisse

* Die Besucher sollten grundsätzlich mit dem SDLC, agiler Entwicklung und den damit verbundenen Begriffen und Handlungsweisen vertraut sein.
* Grundlagen-Wissen zum Thema Security wird vorausgesetzt.
* Praktische Erfahrung im Bereich der Implementierung eines SSDLC sind hilfreich, aber nicht zwingend erforderlich.

Lernziele

Der Beitrag hat das Ziel, Teilnehmern einen Einblick in die Schwierigkeiten der Integration von Security in einem hoch agilen Projekt zu geben. Hier spielen nicht nur Budget und das Team- und Projektumfeld eine Rolle, sondern auch die eingesetzte Technologie bzw. Architektur sowie die immer größere Bedeutung von Automatisierung. Die Zusammenarbeit zwischen Entwicklern ("Dev"), Security ("Sec") und dem Betrieb ("Ops"), also das Thema "DevSecOps", das aktuell viel in Diskussion ist, wird hier nicht theoretisch, sondern rein aus der Praxis betrachtet. Oft müssen pragmatische Entscheidungen getroffen oder bereits etablierte Prozesse angepasst werden.
Durch unsere Erfahrungen konnten wir einige knappe und allgemein gültige Best Practices ableiten, die Verantwortliche in derselben Situation unterstützen können, Probleme frühzeitig zu vermeiden oder bereits getroffene Entscheidungen noch einmal zu überdenken. Diese Best Practices werden durch anschauliche Beispiele aus dem laufenden Projekt aufgezeigt.

 

Speaker

 

Maximiliane Zirm
Maximiliane Zirm arbeitet als Senior IT-Security Beraterin bei mgm security partners und ist dort die Leiterin des Penetration-Testing-Teams. Zusätzlich ist sie beratend in verschiedenen Softwareprojekten tätig, hält Seminare für Software Entwickler im Bereich der Web Application Security Best Practices und führt Sicherheitsanalysen für Web- und Mobile-Anwendungen durch.

Gold-Sponsoren

RIGS IT
SearchGuard
WIBU Systems

Silber-Sponsoren

COTECH
RIPS Technologies

Bronze-Sponsor

heidelpay

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden