Zurück

Agile Threat Modeling im DevSecOps-Sinne

Wie können wir uns der gerade in größeren Unternehmen oftmals vorhanden Herausforderung stellen, Threat Modeling in agilen Projekten lebendig und kontinuierlich stattfinden zu lassen?

Um agiles Bedrohungsmodellieren zu erreichen, muss etwas kontinuierliches her, etwas wie "Threat-Model-as-Code" im DevSecOps-Sinne.

Sehen Sie im Vortrag die Ideen hinter diesem Ansatz: entwicklerfreundliches Bedrohungsmodellieren direkt aus der IDE heraus, ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen, in IDEs editierbare und in Git diffbare Modelle, automatisch regelbasiert abgeleitete Risiken sowie grafische Diagramm- und Reportgenerierung inkl. Mitigationsmaßnahmen.

Lernziele

Lernziel des Talks ist es, eine Vorgehensweise zur kontinuierlichen Bedrohungsmodellierung in agilen Projekten kennenzulernen. Es wird neben den Vor- und Nachteilen eines solchen Ansatzes auf Projekt- und Unternehmensebene auch Praxiswissen vermittelt, wie dies mittels Open-Source-Werkzeugen bereits heute effizient möglich ist.

Speaker

Christian Schneider (@cschneider4711) ist als freiberuflicher Softwareentwickler, Whitehat-Hacker und Trainer tätig. Er unterstützt Unternehmen im Bereich der Web Security durch Penetrationstests und Security Architecture Consulting sowie Teams bei der Einführung von DevSecOps. In dieser Rolle ist er regelmäßig als Trainer tätig, spricht auf Konferenzen und bloggt auf www.Christian-Schneider.net.

Jetzt Tickets sichern

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

Anmelden