Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

DevOps und der API-Lebenszyklus: Wie nutzt man APIOps für Design, Implementierung und Sicherheit?


Dieser Workshop findet am 11. September in Karlsruhe statt.

APIs über eine längere Zeit sicher anzubieten ist eine Herausforderung: Neue APIs kommen hinzu und bestehende werden erweitert. Manuelle Prozesse für die Absicherung und das Ausrollen sind zeitaufwendig und fehleranfällig.

DevOps-Praktiken wie z.B. die Automatisierung tragen neben einer Zeitersparnis zur Sicherheit bei. Bereits beim Entwurf und Test sollte die Sicherheit berücksichtigt werden. Beispielsweise kann eine OpenAPI-Beschreibung im Betrieb zur Validierung von Anfragen verwendet werden, sofern dies bereits im Entwurf berücksichtigt wurde.

Im Workshop wird ein API-Prozess mit Qualitätssicherung vom Design bis zum Betrieb mit Open-Source-Werkzeugen abgebildet.

Vorkenntnisse

Grundkenntnisse in Programmierung, Versionsverwaltung und APIs.

Lernziele

Anhand von praktischen Übungen lernen die Teilnehmer wie man:

  • den API-Lebenszyklus mit CI/CD-Pipelines abbildet.
  • API-Design und Sicherheit mit Werkzeugen überprüft.
  • OpenAPI- und JSON-Schema-Beschreibungen verbessert.
  • Designregeln auswählt und anpasst.
  • das API-Deployment automatisiert.
  • Repositories für APIs und OpenAPI-Dokumente organisiert.

Agenda

ab 09:00 Uhr: Registrierung und Begrüßungskaffee
10:00 Uhr: Beginn
  • Der API Lifecycle & APIOps
  • Phase: Planung
  • Die Werkzeuge
  • github Actions
12:30 - 13:30 Uhr: Mittagspause
  • Phase: Design
  • Security im API Lifecycle
  • QS von OpenAPI Dokumenten
  • Automatische QS in der Pipeline
15:00 - 15:15 Uhr: Kaffeepause
  • Phase: Implementierung
  • Prüfüng der Kompatibilität
  • Validierung gegen API Styleguide
  • Testen
16:15 - 16:30 Uhr: Kaffeepause
  • Phase: Betrieb
  • Best Practice
  • Deployment in die Cloud
ca. 17:00 Uhr: Ende

 

Technische Anforderungen

Für eine Teilnahme wird benötigt:
Falls ihr ein Gerät eurer Firma verwendet, überprüft vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei euch auftreten könnte.
  • Workshop-Teilnehmer:in hat keine Administrator-Rechte.
  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware
  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Speaker

 

Thomas Bayer
Thomas Bayer ist Geschäftsführer der Firma predic8 in Bonn. Als Berater ist er international unterwegs und lernt ständig spannende Unternehmen und Probleme kennen. Sein Interesse gilt APIs, DevOps und der Anwendungsintegration. In der Freizeit macht er Yoga oder fotografiert.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden