Kontakt
Kompetentes und unabhängiges Wissen für IT-Profis.
Konferenzen, Workshops und Webinare.
(1-tägiger iX-Workshop)
In diesem HandsOn-Seminar werden wir gemeinsam Build-Pipelines um Security-Checks erweitern. Beginnen werden wir mit einer verwundbaren Trainingsanwendung, in welcher wir uns zuerst auf die verschiedenen Kategorien von Schwachstellen konzentrieren und diese in manuellen Übungen identifizieren. Nach dieser Grundlage widmen wir uns den passenden Werkzeugen zur automatisierten Erkennung.
Als Teilnehmer des Seminars lernen Sie, welche Integrationswege am besten funktionieren und wie diese optimal angewendet werden. Zuerst integriert werden Checks auf Konfigurationsschwächen, welche dann nach und nach zu tiefen Security-Checks auf dem gesamten Spektrum des Application-Layers ausgebaut werden. Neben klassischen Webanwendungen können damit auch Microservices betrachtet und automatisiert geprüft werden. Abgerundet wird der Tag durch Scans auf Ebene der eingesetzten Libraries bis hin zur Überprüfung von Containern.
Über die automatisierte Auswertung der Ergebnisse können Sie Builds je nach Kritikalität der gefunden Schwachstellen instabil werden lassen oder ganz brechen lassen, um im Fall von schweren Sicherheitslücken einen automatischen Roll-out zu verhindern. In angeleiteten Übungen wird eine Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung aufgebaut. Zum Einsatz kommt hierzu ein ganzer Strauß an Open-Source-Werkzeugen.
Nach Abschluss des Seminars sind Sie in der Lage, die vorgestellten Konzepte in eigenen Projekten sinnvoll anzuwenden.
Voraussetzungen
Wer an den Praxisübungen mitmachen möchte, benötigt einen Notebook mit Internetzugang und nach Möglichkeit einen lauffähigen "OWASP ZAP" Scanner (am einfachsten die Cross-Plattform-Version unter https://www.owasp.org herunterladen). Die restlichen Umgebungen werden für die Teilnehmer vom Trainer in der Cloud zur Verfügung gestellt. Und für diejenigen ohne Notebook: Auch ohne bei den Praxisübungen mitzumachen, nimmt man selbstverständlich eine Menge Input aus dem Workshop mit.
Leistungen Ihres Workshoptickets
Der Workshop ist auf 30 Teilnehmer begrenzt!
Durchführung
Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 14 Tage vorher durch das heise Events-Team informiert.
Kontakt
Haben Sie Fragen zu der Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail!
Jennifer Rypalla // jery@heise.de
Online - Workshop
Nehmen Sie jetzt unkompliziert an unserem Online-Workshop teil.
Alles, was Sie dafür benötigen, ist ein Mikrofon oder Headset an Ihrem Rechner oder Laptop und einen aktuellen Browser. Selbstverständlich sind die Inhalte online die gleichen wie in dem Präsenz-Workshop. Sie können Fragen stellen und sich mit dem Referenten und den anderen Teilnehmern austauschen. Die auf 30 Personen begrenzte Teilnehmerzahl garantiert ein effektives und abwechslungsreiches Lernerlebnis – sicher und bequem in Ihrem Arbeitsumfeld.
Nach dem Kauf eines Tickets erhalten Sie eine Bestätigung per Mail und kurz vor der Veranstaltung in einer separaten Mail Ihren Zugangslink. Bitte nutzen Sie daher für den Ticketkauf eine E-Mail-Adresse, auf die Sie freien Zugriff haben!
Für diesen Kurs verwenden wir BigBlueButton. Für die Teilnahme ist es nicht erforderlich, einen Account bei BigBlueButton anzulegen. Die Teilnahme kann im Browser oder über den Desktop-Client von BigBlueButton erfolgen.
Preise
Standardpreis: 649,00 €
Alle Preise inkl. MwSt.
Tag 1
08:30 Uhr Registrierung
09:00 Uhr Beginn
12:30 Uhr Mittagspause
17:00 Uhr Ende
Jeweils 15 Minuten Kaffeepause am Vor- und Nachmittag.
Christian Schneider
Christian Schneider (@cschneider4711) ist als freiberuflicher Whitehat Hacker, Trainer und Security Architekt tätig. Als Softwareentwickler mit mittlerweile 20 Jahren Erfahrung fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security. Er berät DAX-Konzerne und mittel-ständische Unternehmen im Bereich der sicheren Softwareentwicklung durch Security Architec-ture Consulting und Penetrationtesting. Sein aktuelles Lieblingsthema ist die Automation von Security Checks im Rahmen von DevSecOps.
Als Trainer und Security-Coach für agile Teams blickt er auf über 200 Workshops zurück, bei denen er komplexe Themen anschaulich darstellen und vermitteln kann. Auf nationalen sowie internationalen Konferenzen ist Christian regelmäßig der Geheimtipp in IT-Security Themen. Er veröffentlicht Artikel in Fachzeitschriften und bloggt wenn es die Zeit zulässt unter www.Christian-Schneider.net.