Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Legacy-Software übernehmen, warten und absichern – ein praxisorientierter Workshop

Den größten Teil des Lebenszyklus von Software nimmt die Pflege derselbigen ein. In größeren Organisationen muss man nicht selten – freiwillig oder unfreiwillig – die Pflege für eine Software übernehmen, die man nicht selbst geschrieben hat. Bei den ganzen Aufgaben und Herausforderungen, vor denen man dann steht, geht der Aspekt Security oft unter.

In diesem Workshop erarbeiten wir in praktischen Übungen an einer größeren, in Java geschriebenen Applikation ein systematisches Vorgehen, wie wir bei einer Übernahme von Software das Thema Security angehen können. Vom Einbau von automatisierten Security-Scannern bis zum Aufstellen eines (initialen) Threat-Models.

Vorkenntnisse

Programmierkenntnisse in Java sowie Grundkenntnisse über mögliche Angriffsvektoren (z. B. die OWASP Top 10).

Lernziele

  • Erstellen eines (initialen) Threat-Models
  • Identifizierung und Audit Security-relevanter Punkte in einer (unbekannten) Applikation
  • Integration automatischer Security-Tools wie Vulnerability-Scanner oder Dependency-Checker in einer (unbekannten) Applikation

Agenda

  • ab 09:00 Uhr: Registrierung und Begrüßungskaffee
  • 10:00 Uhr: Beginn
  • Vorstellung der Beispiel-Applikation
  • Erstellung eines initiales Thread-Model
  • 12:30 - 13:30 Uhr: Mittagspause
  • Identifizieren von Bug/Sicherheitslücken im Source-Code
  • 15:00 - 15:15 Uhr: Kaffeepause
  • Diskussion zum Einsatz von automatisierten Security-Testing und Security-Scannern (inkl. Prototyping)
  • 16:15 - 16:30 Uhr: Kaffeepause
  • Recap
  • ca. 17:00 Uhr: Ende

 

Technische Anforderungen

  • Auf euren Laptops sollte eine Java-IDE installiert sein, z. B. IntelliJ, Eclipse, Visual Studio Code, mit denen ihr umgehen könnt. Wir Trainer nutzen IntelliJ.
  • Ihr solltet Docker installiert haben und Anwendungen mit Docker-Compose starten können. Der Laptop sollte über genügend Ressourcen verfügen, um mit mehreren (~5-6) Container gleichzeitig zu arbeiten - mehrere Spring-Boot-Applikationen und eine DB.
Falls ihr ein Gerät eurer Firma verwendet, überprüft vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei euch auftreten könnte:
  • Workshop-Teilnehmer:in hat keine Administrator-Rechte.
  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware
  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Speaker

 

Christoph Iserlohn
Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.

Felix Schumacher
Felix Schumacher ist Senior Consultant bei INNOQ. Er beschäftigt sich gerne mit IT-Sicherheit, testgetriebener Entwicklung und dem Betrieb und der Weiterentwicklung bestehender Systeme.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden