SlideShare une entreprise Scribd logo

Automatisierung von Security Test im Build-Prozess

x-celerate
x-celerate

Das Thema Security gewinnt in der Anwendungsentwicklung immer mehr an Bedeutung. Durch die Sensibilisierung durch die Medien und die Einführung der GDPR ist Web Application Security zu den Managern, Kunden und Projektverantwortlichen vorgedrungen. Mit diesem Vortrag begleiten Sie mich auf meiner Reise von den manuellen statischen Security Tests bis zur vollautomatisierten Einbindung in eine CDI Pipeline von agilen Projekten. Die Erlebnisse und Diskussionen bei der Toolauswahl, die Hürden bei der Einbindung in den CI Server, die Probleme und Widerstände bei der täglichen Verwendung der Werkzeuge sowie spaßige Vertriebsgespräche sollen einen Einblick und Vorgeschmack auf die Einführung von Security Tests im Entwicklungsprozess geben.

Technologie
1  sur  26
Télécharger pour lire hors ligne
Automatisierung von Security Tests im Build ProzessFirstname Lastname Role @ Company
Warum Security Tests? • Breaches 2018 • Facebook 50 Mio accounts • Underarmor 150 Mio MyFitnessPal app users • MyHeritage 92 Mio accounts • Ticketfly 27 Mio accounts • Knuddels 1,8 Mio accounts • Flightradar24 230,000 customer • British Airways 380,000 booking transactions • Ticketmaster UK 40,000 UK customer Seit 2016 wurden >800 eCommerce Plattformen durch Magecart kompromittiert Automatisierung von Security Tests im Build Prozess Folie 2 LB
Schaden durch Security Breaches • Geschätzter Schaden 2018 (Studie von IBM Security und Ponemon) • durchschnittlicher Schaden $ 3.5 Mio je Breach • Die durchschnittlichen Kosten eines Breach für Firmen, die automatisierte Sicherheitstests vollständig in ihr Unternehmen eingeführt haben, beträgt $ 2.88 mio • Ohne automatisierte Sicherheitstests beträgt der durchschnittliche Schaden $ 4.4 mio • Automatisierte Sicherheitstests sparen $ 1.55 mio • Ist das auf mein Unternehmen anwendbar? • sicherlich nicht in der Höhe • wohl aber in der Tendenz Automatisierung von Security Tests im Build Prozess Folie 3 LB
Zielsetzung • Vulnerabilities so früh wie möglich erkennen • So oft wie möglich nach Vulnerabilities suchen • Einfaches Aufdecken von Vulnerabilities • Schnelles Beheben der Vulnerabilities ermöglichen • Bewusstsein für Sicherheit schaffen • Entwickler • Operations • Management • Vertrauen haben, dass die Anwendung so sicher wie möglich ist Automatisierung von Security Tests im Build Prozess Folie 4 LB
Kategorien von Sicherheitstests • Static Application Security Testing (SAST) • Auffinden von Fehlern und Vulnerabilities im Source Code • Scannen des Source Codes, keine Ausführung des Byte Codes • Einhaltung von Coding Styles und Best Practices • White-Box Testing • Dynamic Application Security Testing (DAST) • Auffinden von Fehlern und Vulnerabilities in einer laufenden Anwendung • Crawling und Fuzzing • Black-Box Testing Automatisierung von Security Tests im Build Prozess Folie 5 LB
Kategorien von Sicherheitstests • Software Composition Analysis (SCA) oder Origin Analysis • Ca. 80% des Quellcodes einer Anwendung besteht aus Open Source Libraries • Analysen von Open Source Library auf Vulnerabilities und Licenses • Interactive Application Security Testing (IAST) • Agent in der Runtime Engine, der das Applikationsverhalten zur Laufzeit analysiert • Verwendet DAST als Angriffe • Wiederverwendung von automatisierten funktionalen Tests • Runtime Application Self-Protection (RASP) • Hybrid Application Security Testing (HAST) Automatisierung von Security Tests im Build Prozess Folie 6 LB
Security Tests für Docker Images • Application Layer • Operating System Layer • Software Libraries • Reporting on Non-Packaged File Automatisierung von Security Tests im Build Prozess Folie 7 LB
Fragerunde Wer setzt Static Application Security Testing ein? • 2013 haben diese Frage < 35% aller US Entwickler mit Ja beantwortet Wer setzt Dynamic Application Security Testing ein? Wer setzt Software Composition Analysis ein? • Ca. 80% einer Java Anwendung besteht aus Open Source Komponenten Wer hat Software Security/Secure Coding Guidelines? • Für < 55% der Entwickler in Deutschland hat Security keine hohe Bedeutung Automatisierung von Security Tests im Build Prozess Folie 8 LB
Application Security „die Wunderwaffe“? “Application security is not a simple binary choice, whereby you either have security or you don’t. Application security is more of a sliding scale where providing additional security layers helps reduce the risk of an incident, hopefully to an acceptable level of risk for the organization. Thus, application-security testing reduces risk in applications, but cannot completely eliminate it. ” THOMAS SCANLON Automatisierung von Security Tests im Build Prozess Folie 9 LB
Open Source vs. kommerzielle Produkte Open Source • Static Application Security Testing • FindBugs/FindSecBugs • PMD • Sonarqube • Dynamic Application Security Testing • Zed Attack Proxy (ZAP) • Xenotix XSS Exploit Framework • Software Composition Analysis • OWASP Dependency-check Automatisierung von Security Tests im Build Prozess Folie 10 LB Kommerziell • Static Application Security Testing • Xanitizer • Fortifx • Coverity • Julial • Dynamic Application Security Testing • Webinspect • Nessus • Software Composition Analysis • NexusLifcycle • Veracode • Coverity
Security Tests in der Build Pipeline Automatisierung von Security Tests im Build Prozess Folie 11 LB
Security Tests in der Build Pipeline • Einfache CI Pipeline • CI Pipeline with Security Tests Automatisierung von Security Tests im Build Prozess Folie 12 LB
Automatisierung von Security Tests im Build Prozess Security Tests in der Build Pipeline • and now a little more advanced
Security Tests in der Build Pipeline • Und nun für die Paranoiden unter uns …. Automatisierung von Security Tests im Build Prozess Folie 14 LB
SAST Findings – WebGoat/WebWolf Automatisierung von Security Tests im Build Prozess Folie 15 LB
SAST Findings SQL Injection Details – WebGoat/WebWolf Automatisierung von Security Tests im Build Prozess Folie 16 LB
Software Composition Analysis • Identify Risk in Open Source Components • License Im Durchschnitt besteht eine JAVA Anwendung aus 80% Open Source Library Code Diese Sources und deren Vulnerabilities sind den Angreifern bekannt! Automatisierung von Security Tests im Build Prozess Folie 17 LB 80% 20% Lines of Code Open Source Original Code
Software Composition Findings – OWASP Juice Shop Automatisierung von Security Tests im Build Prozess Folie 18 LB
Seriously? Automatisierung von Security Tests im Build Prozess Folie 19 LB
Einführung von Security Tests in der Realität • Legacy Code/Anwendungen • Sicherheitsbewusstsein und Verantwortung • Wir wurden doch noch nie angegriffen! • Bei uns gibt es nichts zu holen! • Wir sind kein Angriffsziel! • Skill und Mindset • Weg vom das haben wir aber immer so gemacht • Wie kann ich die Vulnerability fixen? • Nicht immer gleich den Build Breaker verwenden • Nicht noch ein Tool • Releasetermine und -zyklen Automatisierung von Security Tests im Build Prozess Folie 20 LB
Automatisierung ist nicht genug • Verbindlichkeit und Verantwortung • Prozesse etablieren • Entwickler-/DevOps Team sensibilisieren • Secure Coding Guidelines • Secure Coding/Security Know How aufbauen • Zeit und Budget bereitstellen • Scans nach dem Checkin/Nightly Build sind vielleicht schon zu spät • Patchprozesse und -zyklen • Software Security Lifecycle berücksichtigen Automatisierung von Security Tests im Build Prozess Folie 21 LB
Software Security Lifecycle • Software altert • Libraries altern • Angreifer entwickeln neue Vulnerabilities • Kontinuierliche Security Tests von Anwendungen • „eigene“ Build Pipelines für released Anwendungen Automatisierung von Security Tests im Build Prozess Folie 22 LB
Stilblüten • Lizenzkosten • Kontaktaufnahme • Email Adresse < 36 Zeichen, keine Telefonnummer oder brauchbare Kontaktdaten • Lasst uns feilschen • CI Integration/Automatisierung • Wir sind eine JAVA Entwicklungsabteilung … • Installation • Mavenplugins Automatisierung von Security Tests im Build Prozess Folie 23 LB
Security Tools • SAST • https://www.owasp.org/index.php/Source_Code_Analysis_Tools • https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • https://www.softwaretestinghelp.com/tools/top-40-static-code-analysis-tools/ • DAST • https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools • Software Composition Analysis • https://www.trustradius.com/software-composition-analysis • https://www.itcentralstation.com/categories/software-composition-analysis • Sonstige • https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html Automatisierung von Security Tests im Build Prozess Folie 24 LB
Links • Web Security Standard TSS-WEB • DevOps Handbuch von Gene Kim, Jez Humbl u.a. • Ponemon + IBM Studie • Data Breaches 2018 Verizon • Top Threats by Industry Automatisierung von Security Tests im Build Prozess Folie 25 LB
Firstname Lastname Role @ Company Vielen Dank

Recommandé

DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
Whitebox testing-phpughh
Whitebox testing-phpughhWhitebox testing-phpughh
Whitebox testing-phpughhWebcsonsultsEU
 
Der Agile Qualitätsbaukasten - PHP Unconference 2014
Der Agile Qualitätsbaukasten - PHP Unconference 2014Der Agile Qualitätsbaukasten - PHP Unconference 2014
Der Agile Qualitätsbaukasten - PHP Unconference 2014WebcsonsultsEU
 
In den sicheren Hafen jax2020
In den sicheren Hafen jax2020In den sicheren Hafen jax2020
In den sicheren Hafen jax2020Stephan Kaps
 
DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes QAware GmbH
 
Kaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinKaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinStephan Kaps
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineOPEN KNOWLEDGE GmbH
 

Recommandé

DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
Whitebox testing-phpughh
Whitebox testing-phpughhWhitebox testing-phpughh
Whitebox testing-phpughhWebcsonsultsEU
 
Der Agile Qualitätsbaukasten - PHP Unconference 2014
Der Agile Qualitätsbaukasten - PHP Unconference 2014Der Agile Qualitätsbaukasten - PHP Unconference 2014
Der Agile Qualitätsbaukasten - PHP Unconference 2014WebcsonsultsEU
 
In den sicheren Hafen jax2020
In den sicheren Hafen jax2020In den sicheren Hafen jax2020
In den sicheren Hafen jax2020Stephan Kaps
 
DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes QAware GmbH
 
Kaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinKaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinStephan Kaps
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineOPEN KNOWLEDGE GmbH
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sQAware GmbH
 
Log4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdfLog4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdfStephan Kaps
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
CCPP
CCPPCCPP
CCPPNadineZ
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtBATbern
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration TestsQAware GmbH
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnMartin Seibert
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Softwaretests: Motivation und Überblick
Softwaretests: Motivation und ÜberblickSoftwaretests: Motivation und Überblick
Softwaretests: Motivation und ÜberblickIKS Gesellschaft für Informations- und Kommunikationssysteme mbH
 
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenVirtual Forge
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
DACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdfDACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdfDNUG e.V.
 
Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Nico Orschel
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen....NET User Group Rhein-Neckar
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG SoftwaretechnikRoland M
 
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)Florian Wolters
 
Testautomatisierung
TestautomatisierungTestautomatisierung
TestautomatisierungConSol Consulting & Solutions Software GmbH
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Monitoring und Logging in Kubernetes
Monitoring und Logging in KubernetesMonitoring und Logging in Kubernetes
Monitoring und Logging in Kubernetesx-celerate
 
Robustes Testen mit Selenium
Robustes Testen mit SeleniumRobustes Testen mit Selenium
Robustes Testen mit Seleniumx-celerate
 

Contenu connexe

Similaire à Automatisierung von Security Test im Build-Prozess

Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sQAware GmbH
 
Log4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdfLog4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdfStephan Kaps
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtBATbern
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration TestsQAware GmbH
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnMartin Seibert
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenVirtual Forge
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
DACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdfDACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdfDNUG e.V.
 
Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Nico Orschel
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen....NET User Group Rhein-Neckar
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG SoftwaretechnikRoland M
 
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)Florian Wolters
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 

Similaire à Automatisierung von Security Test im Build-Prozess (20)

Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
 
Log4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdfLog4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdf
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
CCPP
CCPPCCPP
CCPP
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-Acht
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration Tests
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickeln
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Softwaretests: Motivation und Überblick
Softwaretests: Motivation und ÜberblickSoftwaretests: Motivation und Überblick
Softwaretests: Motivation und Überblick
 
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
DACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdfDACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdf
 
Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG Softwaretechnik
 
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
 
Testautomatisierung
TestautomatisierungTestautomatisierung
Testautomatisierung
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 

Plus de x-celerate

Monitoring und Logging in Kubernetes
Monitoring und Logging in KubernetesMonitoring und Logging in Kubernetes
Monitoring und Logging in Kubernetesx-celerate
 
Robustes Testen mit Selenium
Robustes Testen mit SeleniumRobustes Testen mit Selenium
Robustes Testen mit Seleniumx-celerate
 
Serverless Computing: Run code, not servers
Serverless Computing: Run code, not serversServerless Computing: Run code, not servers
Serverless Computing: Run code, not serversx-celerate
 
Releases: Aus Jahren werden Minuten
Releases: Aus Jahren werden MinutenReleases: Aus Jahren werden Minuten
Releases: Aus Jahren werden Minutenx-celerate
 
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle ProfisClosing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profisx-celerate
 
Der Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten UmgebungDer Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten Umgebungx-celerate
 
Dienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in AzureDienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in Azurex-celerate
 

Plus de x-celerate (7)

Monitoring und Logging in Kubernetes
Monitoring und Logging in KubernetesMonitoring und Logging in Kubernetes
Monitoring und Logging in Kubernetes
 
Robustes Testen mit Selenium
Robustes Testen mit SeleniumRobustes Testen mit Selenium
Robustes Testen mit Selenium
 
Serverless Computing: Run code, not servers
Serverless Computing: Run code, not serversServerless Computing: Run code, not servers
Serverless Computing: Run code, not servers
 
Releases: Aus Jahren werden Minuten
Releases: Aus Jahren werden MinutenReleases: Aus Jahren werden Minuten
Releases: Aus Jahren werden Minuten
 
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle ProfisClosing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
 
Der Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten UmgebungDer Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten Umgebung
 
Dienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in AzureDienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in Azure
 

Automatisierung von Security Test im Build-Prozess

  • 1. Automatisierung von Security Tests im Build ProzessFirstname Lastname Role @ Company
  • 2. Warum Security Tests? • Breaches 2018 • Facebook 50 Mio accounts • Underarmor 150 Mio MyFitnessPal app users • MyHeritage 92 Mio accounts • Ticketfly 27 Mio accounts • Knuddels 1,8 Mio accounts • Flightradar24 230,000 customer • British Airways 380,000 booking transactions • Ticketmaster UK 40,000 UK customer Seit 2016 wurden >800 eCommerce Plattformen durch Magecart kompromittiert Automatisierung von Security Tests im Build Prozess Folie 2 LB
  • 3. Schaden durch Security Breaches • Geschätzter Schaden 2018 (Studie von IBM Security und Ponemon) • durchschnittlicher Schaden $ 3.5 Mio je Breach • Die durchschnittlichen Kosten eines Breach für Firmen, die automatisierte Sicherheitstests vollständig in ihr Unternehmen eingeführt haben, beträgt $ 2.88 mio • Ohne automatisierte Sicherheitstests beträgt der durchschnittliche Schaden $ 4.4 mio • Automatisierte Sicherheitstests sparen $ 1.55 mio • Ist das auf mein Unternehmen anwendbar? • sicherlich nicht in der Höhe • wohl aber in der Tendenz Automatisierung von Security Tests im Build Prozess Folie 3 LB
  • 4. Zielsetzung • Vulnerabilities so früh wie möglich erkennen • So oft wie möglich nach Vulnerabilities suchen • Einfaches Aufdecken von Vulnerabilities • Schnelles Beheben der Vulnerabilities ermöglichen • Bewusstsein für Sicherheit schaffen • Entwickler • Operations • Management • Vertrauen haben, dass die Anwendung so sicher wie möglich ist Automatisierung von Security Tests im Build Prozess Folie 4 LB
  • 5. Kategorien von Sicherheitstests • Static Application Security Testing (SAST) • Auffinden von Fehlern und Vulnerabilities im Source Code • Scannen des Source Codes, keine Ausführung des Byte Codes • Einhaltung von Coding Styles und Best Practices • White-Box Testing • Dynamic Application Security Testing (DAST) • Auffinden von Fehlern und Vulnerabilities in einer laufenden Anwendung • Crawling und Fuzzing • Black-Box Testing Automatisierung von Security Tests im Build Prozess Folie 5 LB
  • 6. Kategorien von Sicherheitstests • Software Composition Analysis (SCA) oder Origin Analysis • Ca. 80% des Quellcodes einer Anwendung besteht aus Open Source Libraries • Analysen von Open Source Library auf Vulnerabilities und Licenses • Interactive Application Security Testing (IAST) • Agent in der Runtime Engine, der das Applikationsverhalten zur Laufzeit analysiert • Verwendet DAST als Angriffe • Wiederverwendung von automatisierten funktionalen Tests • Runtime Application Self-Protection (RASP) • Hybrid Application Security Testing (HAST) Automatisierung von Security Tests im Build Prozess Folie 6 LB
  • 7. Security Tests für Docker Images • Application Layer • Operating System Layer • Software Libraries • Reporting on Non-Packaged File Automatisierung von Security Tests im Build Prozess Folie 7 LB
  • 8. Fragerunde Wer setzt Static Application Security Testing ein? • 2013 haben diese Frage < 35% aller US Entwickler mit Ja beantwortet Wer setzt Dynamic Application Security Testing ein? Wer setzt Software Composition Analysis ein? • Ca. 80% einer Java Anwendung besteht aus Open Source Komponenten Wer hat Software Security/Secure Coding Guidelines? • Für < 55% der Entwickler in Deutschland hat Security keine hohe Bedeutung Automatisierung von Security Tests im Build Prozess Folie 8 LB
  • 9. Application Security „die Wunderwaffe“? “Application security is not a simple binary choice, whereby you either have security or you don’t. Application security is more of a sliding scale where providing additional security layers helps reduce the risk of an incident, hopefully to an acceptable level of risk for the organization. Thus, application-security testing reduces risk in applications, but cannot completely eliminate it. ” THOMAS SCANLON Automatisierung von Security Tests im Build Prozess Folie 9 LB
  • 10. Open Source vs. kommerzielle Produkte Open Source • Static Application Security Testing • FindBugs/FindSecBugs • PMD • Sonarqube • Dynamic Application Security Testing • Zed Attack Proxy (ZAP) • Xenotix XSS Exploit Framework • Software Composition Analysis • OWASP Dependency-check Automatisierung von Security Tests im Build Prozess Folie 10 LB Kommerziell • Static Application Security Testing • Xanitizer • Fortifx • Coverity • Julial • Dynamic Application Security Testing • Webinspect • Nessus • Software Composition Analysis • NexusLifcycle • Veracode • Coverity
  • 11. Security Tests in der Build Pipeline Automatisierung von Security Tests im Build Prozess Folie 11 LB
  • 12. Security Tests in der Build Pipeline • Einfache CI Pipeline • CI Pipeline with Security Tests Automatisierung von Security Tests im Build Prozess Folie 12 LB
  • 13. Automatisierung von Security Tests im Build Prozess Security Tests in der Build Pipeline • and now a little more advanced
  • 14. Security Tests in der Build Pipeline • Und nun für die Paranoiden unter uns …. Automatisierung von Security Tests im Build Prozess Folie 14 LB
  • 15. SAST Findings – WebGoat/WebWolf Automatisierung von Security Tests im Build Prozess Folie 15 LB
  • 16. SAST Findings SQL Injection Details – WebGoat/WebWolf Automatisierung von Security Tests im Build Prozess Folie 16 LB
  • 17. Software Composition Analysis • Identify Risk in Open Source Components • License Im Durchschnitt besteht eine JAVA Anwendung aus 80% Open Source Library Code Diese Sources und deren Vulnerabilities sind den Angreifern bekannt! Automatisierung von Security Tests im Build Prozess Folie 17 LB 80% 20% Lines of Code Open Source Original Code
  • 18. Software Composition Findings – OWASP Juice Shop Automatisierung von Security Tests im Build Prozess Folie 18 LB
  • 19. Seriously? Automatisierung von Security Tests im Build Prozess Folie 19 LB
  • 20. Einführung von Security Tests in der Realität • Legacy Code/Anwendungen • Sicherheitsbewusstsein und Verantwortung • Wir wurden doch noch nie angegriffen! • Bei uns gibt es nichts zu holen! • Wir sind kein Angriffsziel! • Skill und Mindset • Weg vom das haben wir aber immer so gemacht • Wie kann ich die Vulnerability fixen? • Nicht immer gleich den Build Breaker verwenden • Nicht noch ein Tool • Releasetermine und -zyklen Automatisierung von Security Tests im Build Prozess Folie 20 LB
  • 21. Automatisierung ist nicht genug • Verbindlichkeit und Verantwortung • Prozesse etablieren • Entwickler-/DevOps Team sensibilisieren • Secure Coding Guidelines • Secure Coding/Security Know How aufbauen • Zeit und Budget bereitstellen • Scans nach dem Checkin/Nightly Build sind vielleicht schon zu spät • Patchprozesse und -zyklen • Software Security Lifecycle berücksichtigen Automatisierung von Security Tests im Build Prozess Folie 21 LB
  • 22. Software Security Lifecycle • Software altert • Libraries altern • Angreifer entwickeln neue Vulnerabilities • Kontinuierliche Security Tests von Anwendungen • „eigene“ Build Pipelines für released Anwendungen Automatisierung von Security Tests im Build Prozess Folie 22 LB
  • 23. Stilblüten • Lizenzkosten • Kontaktaufnahme • Email Adresse < 36 Zeichen, keine Telefonnummer oder brauchbare Kontaktdaten • Lasst uns feilschen • CI Integration/Automatisierung • Wir sind eine JAVA Entwicklungsabteilung … • Installation • Mavenplugins Automatisierung von Security Tests im Build Prozess Folie 23 LB
  • 24. Security Tools • SAST • https://www.owasp.org/index.php/Source_Code_Analysis_Tools • https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • https://www.softwaretestinghelp.com/tools/top-40-static-code-analysis-tools/ • DAST • https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools • Software Composition Analysis • https://www.trustradius.com/software-composition-analysis • https://www.itcentralstation.com/categories/software-composition-analysis • Sonstige • https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html Automatisierung von Security Tests im Build Prozess Folie 24 LB
  • 25. Links • Web Security Standard TSS-WEB • DevOps Handbuch von Gene Kim, Jez Humbl u.a. • Ponemon + IBM Studie • Data Breaches 2018 Verizon • Top Threats by Industry Automatisierung von Security Tests im Build Prozess Folie 25 LB
  • 26. Firstname Lastname Role @ Company Vielen Dank