Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Sichere Software schreiben

Nachdem jahrelang auf meine Grundlagen- und Know-how-Vorträge das Feedback kam, man verstehe nicht, wie man das in der Praxis konkret anwenden soll, zeigt dieser Vortrag die Verfahren am lebenden Patienten: meinem Blog.

Der Vortrag sollte eher "Sichere Software konstruieren" heißen, denn es geht um Architektur statt Code-Tricks. Aber dann funktioniert die schöne Alliteration nicht.

Die grundlegenden Bausteine, die gezeigt werden, sind: Threat Modeling, TCB-Minimierung, Kompartmentalisieren ("Microservices") und Self-Sandboxing.

Wer mir inhaltlich folgen kann, sieht am Ende eine Software, bei der ich Angreifern Remote Code Execution geben könnte ... und sie wären nicht weiter als vorher.

Vorkenntnisse

Es hilft, wenn man die vorherigen Vorträge gesehen hat, aber nötig ist es nicht. Für einige Details verweise ich allerdings auf die anderen Vorträge, anstatt alles nochmal von 0 zu erklären.

Lernziele

  • Threat-Modeling
  • TCB-Minimierung
  • Kompartmentalisieren ("Microservices")
  • Self-Sandboxing

Speaker

 

Felix von Leitner
Felix von Leitner ist Blogger, Podcaster, Code-Auditor und nervige Kassandra der Security-Branche. Seit Jahren versucht er, alle zu warnen, dass das so nicht weitergeht, und fragt sich dann, wieso die Leute ihr Geld lieber Ransomware-Gangs geben, als auf ihn zu hören.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden