Zurück

Sicher, resilient, handlungsfähig: Moderne CI/CD-Pipelines

Moderne Anwendungen sind tief in Ökosysteme aus Drittanbieterpaketen eingebettet: Was im vendor, node_modules oder Cargo Cache landet, ist mindestens so sicherheitsrelevant wie der selbst geschriebene Code. Aktuelle Paketmanager ziehen daraus Konsequenzen: Die Durchsetzung von Security Advisories wandert aus nachträglichen Reports in den Dependency Resolver selbst, und dieselbe Maschinerie trägt inzwischen auch Malware-Flags und Policy-Regeln. Für CI/CD-Pipelines heißt das: Wer nicht smart und resilient aufgestellt ist, steht still, sobald eine Abhängigkeit mit bekannter Sicherheitslücke installiert werden soll.

Der Vortrag arbeitet sich von unten nach oben durch die Lieferkette: Woher stammen Advisory-Daten, und wie werden sie aggregiert? Wie funktionieren Resolver-seitiges Blocken und Filterlisten, und wie lösen sie das ältere Tooling ab? Wo beißen die neuen Defaults auf eine Weise, wie es ein passives Audit nie tat? Und was sollten Anwendungsentwickler:innen und Maintainer heute konkret tun, damit ihre Pipelines nicht nur sicher, sondern auch handlungsfähig bleiben?

Lernziele

Du verstehst, wie Advisory-Daten entstehen, aggregiert und von Composer durchgesetzt werden.
kennst den Unterschied zwischen passiven Audits und aktivem Blocken
erkennst typische Stolperfallen neuer Defaults in CI/CD
kannst konkrete Maßnahmen ableiten, damit ihre Pipelines trotz strengerer Security- Regeln handlungsfähig bleiben statt zu blockieren.

Speaker

Sebastian Bergmann Sebastian Bergmann ist Erfinder und Maintainer von PHPUnit, dem Industriestandard für Testautomatisierung in PHP. Als Gründungspartner der thePHP.cc berät er Teams zu testbarem Code, sicheren Entwicklungsprozessen und nachhaltigem Qualitätsmanagement. Mit jahrzehntelanger Praxiserfahrung hilft er Unternehmen, Testing als Fundament professioneller und sicherer Softwareentwicklung zu etablieren.