Newsletter

   Kontakt

DevSecOps — Web Security

(1-tägiger iX-Workshop)


In diesem HandsOn-Seminar werden wir gemeinsam Build-Pipelines um Security-Checks erweitern. Beginnen werden wir mit einer verwundbaren Trainingsanwendung, in welcher wir uns zuerst auf die verschiedenen Kategorien von Schwachstellen konzentrieren und diese in manuellen Übungen identifizieren. Nach dieser Grundlage widmen wir uns den passenden Werkzeugen zur automatisierten Erkennung.


Als Teilnehmer des Seminars lernen Sie, welche Integrationswege am besten funktionieren und wie diese optimal angewendet werden. Zuerst integriert werden Checks auf Konfigurationsschwächen, welche dann nach und nach zu tiefen Security-Checks auf dem gesamten Spektrum des Application-Layers ausgebaut werden. Neben klassischen Webanwendungen können damit auch Microservices betrachtet und automatisiert geprüft werden. Abgerundet wird der Tag durch Scans auf Ebene der eingesetzten Libraries bis hin zur Überprüfung von Containern.

Über die automatisierte Auswertung der Ergebnisse können Sie Builds je nach Kritikalität der gefunden Schwachstellen instabil werden lassen oder ganz brechen lassen, um im Fall von schweren Sicherheitslücken einen automatischen Roll-out zu verhindern. In angeleiteten Übungen wird eine Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung aufgebaut. Zum Einsatz kommt hierzu ein ganzer Strauß an Open-Source-Werkzeugen.

Nach Abschluss des Seminars sind Sie in der Lage, die vorgestellten Konzepte in eigenen Projekten sinnvoll anzuwenden.

Voraussetzungen

Wer an den Praxisübungen mitmachen möchte, benötigt einen Notebook mit Internetzugang und nach Möglichkeit einen lauffähigen "OWASP ZAP" Scanner (am einfachsten die Cross-Plattform-Version unter https://www.owasp.org herunterladen). Die restlichen Umgebungen werden für die Teilnehmer vom Trainer in der Cloud zur Verfügung gestellt. Und für diejenigen ohne Notebook: Auch ohne bei den Praxisübungen mitzumachen, nimmt man selbstverständlich eine Menge Input aus dem Workshop mit.

Leistungen Ihres Workshoptickets

  • Workshopunterlagen
  • Tagungsgetränke & Verpflegung
  • Teilnahmebescheinigung


Der Workshop ist auf 30 Teilnehmer begrenzt!

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 14 Tage vorher durch das heise Events-Team informiert.

Kontakt

Haben Sie Fragen zu der Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail!

Jennifer Rypalla // jery@heise.de

Termine & Preise

08.12.2020, Hannover

Hannover Congress Centrum, Theodor-Heuss-Platz 1-3, 30175 Hannover

Tickets Hannover

Preise

Standardpreis: 549,00 €

Alle Preise inkl. MwSt.

Agenda & Trainer

Tag 1

08:30 Uhr    Registrierung

09:00 Uhr    Beginn

12:30 Uhr    Mittagspause

17:00 Uhr    Ende

Jeweils 15 Minuten Kaffeepause am Vor- und Nachmittag.

Christian Schneider

Christian Schneider (@cschneider4711) ist als freiberuflicher Whitehat Hacker, Trainer und Security Architekt tätig. Als Softwareentwickler mit mittlerweile 20 Jahren Erfahrung fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security. Er berät DAX-Konzerne und mittel-ständische Unternehmen im Bereich der sicheren Softwareentwicklung durch Security Architec-ture Consulting und Penetrationtesting. Sein aktuelles Lieblingsthema ist die Automation von Security Checks im Rahmen von DevSecOps.


Als Trainer und Security-Coach für agile Teams blickt er auf über 200 Workshops zurück, bei denen er komplexe Themen anschaulich darstellen und vermitteln kann. Auf nationalen sowie internationalen Konferenzen ist Christian regelmäßig der Geheimtipp in IT-Security Themen. Er veröffentlicht Artikel in Fachzeitschriften und bloggt wenn es die Zeit zulässt unter www.Christian-Schneider.net.