DevSecOps — Web Security

(1-tägiger iX-Workshop)

In diesem HandsOn-Seminar werden wir gemeinsam Build-Pipelines um Security-Checks erweitern. Beginnen werden wir mit einer verwundbaren Trainingsanwendung, in welcher wir uns zuerst auf die verschiedenen Kategorien von Schwachstellen konzentrieren und diese in manuellen Übungen identifizieren. Nach dieser Grundlage widmen wir uns den passenden Werkzeugen zur automatisierten Erkennung.

Als Teilnehmer des Seminars lernen Sie, welche Integrationswege am besten funktionieren und wie diese optimal angewendet werden. Zuerst integriert werden Checks auf Konfigurationsschwächen, welche dann nach und nach zu tiefen Security-Checks auf dem gesamten Spektrum des Application-Layers ausgebaut werden. Neben klassischen Webanwendungen können damit auch Microservices betrachtet und automatisiert geprüft werden. Abgerundet wird der Tag durch Scans auf Ebene der eingesetzten Libraries bis hin zur Überprüfung von Containern.

Über die automatisierte Auswertung der Ergebnisse können Sie Builds je nach Kritikalität der gefunden Schwachstellen instabil werden lassen oder ganz brechen lassen, um im Fall von schweren Sicherheitslücken einen automatischen Roll-out zu verhindern. In angeleiteten Übungen wird eine Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung aufgebaut. Zum Einsatz kommt hierzu ein ganzer Strauß an Open-Source-Werkzeugen.

Nach Abschluss des Seminars sind Sie in der Lage, die vorgestellten Konzepte in eigenen Projekten sinnvoll anzuwenden.

Voraussetzungen

Wer an den Praxisübungen mitmachen möchte, benötigt einen Notebook mit Internetzugang und nach Möglichkeit einen lauffähigen "OWASP ZAP" Scanner (am einfachsten die Cross-Plattform-Version unter https://www.owasp.org herunterladen). Die restlichen Umgebungen werden für die Teilnehmer vom Trainer in der Cloud zur Verfügung gestellt. Und für diejenigen ohne Notebook: Auch ohne bei den Praxisübungen mitzumachen, nimmt man selbstverständlich eine Menge Input aus dem Workshop mit.

Leistungen Ihres Workshoptickets

• Workshopunterlagen
• Tagungsgetränke & Verpflegung (Präsenzveranstaltung)
• Teilnahmebescheinigung

Der Workshop ist auf 30 Teilnehmer begrenzt!

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 14 Tage vorher durch das heise Events-Team informiert.

Kontakt

Haben Sie Fragen zu der Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail!

Jennifer Rypalla // jery@heise.de

Online - Workshop

Nehmen Sie jetzt unkompliziert an unserem Online-Workshop teil.

Alles, was Sie dafür benötigen, ist ein Mikrofon oder Headset an Ihrem Rechner oder Laptop und einen aktuellen Browser. Selbstverständlich sind die Inhalte online die gleichen wie in dem Präsenz-Workshop. Sie können Fragen stellen und sich mit dem Referenten und den anderen Teilnehmern austauschen. Die auf 30 Personen begrenzte Teilnehmerzahl garantiert ein effektives und abwechslungsreiches Lernerlebnis – sicher und bequem in Ihrem Arbeitsumfeld. 

Nach dem Kauf eines Tickets erhalten Sie eine Bestätigung per Mail und kurz vor der Veranstaltung in einer separaten Mail Ihren Zugangslink. Bitte nutzen Sie daher für den Ticketkauf eine E-Mail-Adresse, auf die Sie freien Zugriff haben!

Für diesen Kurs verwenden wir BigBlueButton. Für die Teilnahme ist es nicht erforderlich, einen Account bei BigBlueButton anzulegen. Die Teilnahme kann im Browser oder über den Desktop-Client von BigBlueButton erfolgen.

08.12.2020, Online - Workshop