SlideShare ist ein Scribd-Unternehmen logo
Automatisierung von
Security Tests
im Build ProzessFirstname Lastname
Role @ Company
Warum Security Tests?
• Breaches 2018
• Facebook 50 Mio accounts
• Underarmor 150 Mio MyFitnessPal app users
• MyHeritage 92 Mio accounts
• Ticketfly 27 Mio accounts
• Knuddels 1,8 Mio accounts
• Flightradar24 230,000 customer
• British Airways 380,000 booking transactions
• Ticketmaster UK 40,000 UK customer
Seit 2016 wurden >800 eCommerce Plattformen durch Magecart kompromittiert
Automatisierung von Security Tests im Build Prozess
Folie 2 LB
Schaden durch Security Breaches
• Geschätzter Schaden 2018 (Studie von IBM Security und Ponemon)
• durchschnittlicher Schaden $ 3.5 Mio je Breach
• Die durchschnittlichen Kosten eines Breach für Firmen, die automatisierte Sicherheitstests
vollständig in ihr Unternehmen eingeführt haben, beträgt $ 2.88 mio
• Ohne automatisierte Sicherheitstests beträgt der durchschnittliche Schaden $ 4.4 mio
• Automatisierte Sicherheitstests sparen $ 1.55 mio
• Ist das auf mein Unternehmen anwendbar?
• sicherlich nicht in der Höhe
• wohl aber in der Tendenz
Automatisierung von Security Tests im Build Prozess
Folie 3 LB
Zielsetzung
• Vulnerabilities so früh wie möglich erkennen
• So oft wie möglich nach Vulnerabilities suchen
• Einfaches Aufdecken von Vulnerabilities
• Schnelles Beheben der Vulnerabilities ermöglichen
• Bewusstsein für Sicherheit schaffen
• Entwickler
• Operations
• Management
• Vertrauen haben, dass die Anwendung so sicher wie möglich ist
Automatisierung von Security Tests im Build Prozess
Folie 4 LB
Kategorien von Sicherheitstests
• Static Application Security Testing (SAST)
• Auffinden von Fehlern und Vulnerabilities im Source Code
• Scannen des Source Codes, keine Ausführung des Byte Codes
• Einhaltung von Coding Styles und Best Practices
• White-Box Testing
• Dynamic Application Security Testing (DAST)
• Auffinden von Fehlern und Vulnerabilities in einer laufenden Anwendung
• Crawling und Fuzzing
• Black-Box Testing
Automatisierung von Security Tests im Build Prozess
Folie 5 LB
Kategorien von Sicherheitstests
• Software Composition Analysis (SCA) oder Origin Analysis
• Ca. 80% des Quellcodes einer Anwendung besteht aus Open Source Libraries
• Analysen von Open Source Library auf Vulnerabilities und Licenses
• Interactive Application Security Testing (IAST)
• Agent in der Runtime Engine, der das Applikationsverhalten zur Laufzeit analysiert
• Verwendet DAST als Angriffe
• Wiederverwendung von automatisierten funktionalen Tests
• Runtime Application Self-Protection (RASP)
• Hybrid Application Security Testing (HAST)
Automatisierung von Security Tests im Build Prozess
Folie 6 LB
Security Tests für Docker Images
• Application Layer
• Operating System Layer
• Software Libraries
• Reporting on Non-Packaged File
Automatisierung von Security Tests im Build Prozess
Folie 7 LB
Fragerunde
Wer setzt Static Application Security Testing ein?
• 2013 haben diese Frage < 35% aller US Entwickler mit Ja beantwortet
Wer setzt Dynamic Application Security Testing ein?
Wer setzt Software Composition Analysis ein?
• Ca. 80% einer Java Anwendung besteht aus Open Source Komponenten
Wer hat Software Security/Secure Coding Guidelines?
• Für < 55% der Entwickler in Deutschland hat Security keine hohe Bedeutung
Automatisierung von Security Tests im Build Prozess
Folie 8 LB
Application Security „die Wunderwaffe“?
“Application security is not a simple binary choice, whereby you either have security or
you don’t.
Application security is more of a sliding scale where providing additional security
layers helps reduce the risk of an incident, hopefully to an acceptable level of risk for
the organization.
Thus, application-security testing reduces risk in applications, but cannot completely
eliminate it. ”
THOMAS SCANLON
Automatisierung von Security Tests im Build Prozess
Folie 9 LB
Open Source vs. kommerzielle Produkte
Open Source
• Static Application Security Testing
• FindBugs/FindSecBugs
• PMD
• Sonarqube
• Dynamic Application Security Testing
• Zed Attack Proxy (ZAP)
• Xenotix XSS Exploit Framework
• Software Composition Analysis
• OWASP Dependency-check
Automatisierung von Security Tests im Build Prozess
Folie 10 LB
Kommerziell
• Static Application Security Testing
• Xanitizer
• Fortifx
• Coverity
• Julial
• Dynamic Application Security Testing
• Webinspect
• Nessus
• Software Composition Analysis
• NexusLifcycle
• Veracode
• Coverity
Security Tests in der Build Pipeline
Automatisierung von Security Tests im Build Prozess
Folie 11 LB
Security Tests in der Build Pipeline
• Einfache CI Pipeline
• CI Pipeline with Security Tests
Automatisierung von Security Tests im Build Prozess
Folie 12 LB
Automatisierung von Security Tests im Build Prozess
Security Tests in der Build Pipeline
• and now a little more advanced
Security Tests in der Build Pipeline
• Und nun für die Paranoiden unter uns ….
Automatisierung von Security Tests im Build Prozess
Folie 14 LB
SAST Findings – WebGoat/WebWolf
Automatisierung von Security Tests im Build Prozess
Folie 15 LB
SAST Findings SQL Injection Details – WebGoat/WebWolf
Automatisierung von Security Tests im Build Prozess
Folie 16 LB
Software Composition Analysis
• Identify Risk in Open Source Components
• License
Im Durchschnitt besteht eine JAVA Anwendung aus 80% Open Source Library Code
Diese Sources und deren Vulnerabilities sind den Angreifern bekannt!
Automatisierung von Security Tests im Build Prozess
Folie 17 LB
80%
20%
Lines of Code
Open Source Original Code
Software Composition Findings – OWASP Juice Shop
Automatisierung von Security Tests im Build Prozess
Folie 18 LB
Seriously?
Automatisierung von Security Tests im Build Prozess
Folie 19 LB
Einführung von Security Tests in der Realität
• Legacy Code/Anwendungen
• Sicherheitsbewusstsein und Verantwortung
• Wir wurden doch noch nie angegriffen!
• Bei uns gibt es nichts zu holen!
• Wir sind kein Angriffsziel!
• Skill und Mindset
• Weg vom das haben wir aber immer so gemacht
• Wie kann ich die Vulnerability fixen?
• Nicht immer gleich den Build Breaker verwenden
• Nicht noch ein Tool
• Releasetermine und -zyklen
Automatisierung von Security Tests im Build Prozess
Folie 20 LB
Automatisierung ist nicht genug
• Verbindlichkeit und Verantwortung
• Prozesse etablieren
• Entwickler-/DevOps Team sensibilisieren
• Secure Coding Guidelines
• Secure Coding/Security Know How aufbauen
• Zeit und Budget bereitstellen
• Scans nach dem Checkin/Nightly Build sind vielleicht schon zu spät
• Patchprozesse und -zyklen
• Software Security Lifecycle berücksichtigen
Automatisierung von Security Tests im Build Prozess
Folie 21 LB
Software Security Lifecycle
• Software altert
• Libraries altern
• Angreifer entwickeln neue Vulnerabilities
• Kontinuierliche Security Tests von Anwendungen
• „eigene“ Build Pipelines für released Anwendungen
Automatisierung von Security Tests im Build Prozess
Folie 22 LB
Stilblüten
• Lizenzkosten
• Kontaktaufnahme
• Email Adresse < 36 Zeichen, keine Telefonnummer oder brauchbare Kontaktdaten
• Lasst uns feilschen
• CI Integration/Automatisierung
• Wir sind eine JAVA Entwicklungsabteilung …
• Installation
• Mavenplugins
Automatisierung von Security Tests im Build Prozess
Folie 23 LB
Security Tools
• SAST
• https://www.owasp.org/index.php/Source_Code_Analysis_Tools
• https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis
• https://www.softwaretestinghelp.com/tools/top-40-static-code-analysis-tools/
• DAST
• https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
• Software Composition Analysis
• https://www.trustradius.com/software-composition-analysis
• https://www.itcentralstation.com/categories/software-composition-analysis
• Sonstige
• https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html
Automatisierung von Security Tests im Build Prozess
Folie 24 LB
Links
• Web Security Standard TSS-WEB
• DevOps Handbuch von Gene Kim, Jez Humbl u.a.
• Ponemon + IBM Studie
• Data Breaches 2018 Verizon
• Top Threats by Industry
Automatisierung von Security Tests im Build Prozess
Folie 25 LB
Firstname Lastname
Role @ Company
Vielen Dank

Weitere ähnliche Inhalte

Ähnlich wie Automatisierung von Security Test im Build-Prozess

Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
QAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
QAware GmbH
 
Log4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdfLog4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdf
Stephan Kaps
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
Thorsten Kamann
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-Acht
BATbern
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration Tests
QAware GmbH
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickeln
Martin Seibert
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
QAware GmbH
 
Softwaretests: Motivation und Überblick
Softwaretests: Motivation und ÜberblickSoftwaretests: Motivation und Überblick
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
Virtual Forge
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
DACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdfDACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdf
DNUG e.V.
 
Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013
Nico Orschel
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
.NET User Group Rhein-Neckar
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG SoftwaretechnikRoland M
 
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Florian Wolters
 
Testautomatisierung
TestautomatisierungTestautomatisierung
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Mario-Leander Reimer
 

Ähnlich wie Automatisierung von Security Test im Build-Prozess (20)

Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
 
Log4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdfLog4j war erst der Anfang.pdf
Log4j war erst der Anfang.pdf
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
CCPP
CCPPCCPP
CCPP
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-Acht
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration Tests
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickeln
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Softwaretests: Motivation und Überblick
Softwaretests: Motivation und ÜberblickSoftwaretests: Motivation und Überblick
Softwaretests: Motivation und Überblick
 
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
DACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdfDACHNUG50 Volt MX & AppScan_20230615.pdf
DACHNUG50 Volt MX & AppScan_20230615.pdf
 
Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG Softwaretechnik
 
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
Automatisiertes Testen von Software in C++ (mit dem Test Framework Google Test)
 
Testautomatisierung
TestautomatisierungTestautomatisierung
Testautomatisierung
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 

Mehr von x-celerate

Monitoring und Logging in Kubernetes
Monitoring und Logging in KubernetesMonitoring und Logging in Kubernetes
Monitoring und Logging in Kubernetes
x-celerate
 
Robustes Testen mit Selenium
Robustes Testen mit SeleniumRobustes Testen mit Selenium
Robustes Testen mit Selenium
x-celerate
 
Serverless Computing: Run code, not servers
Serverless Computing: Run code, not serversServerless Computing: Run code, not servers
Serverless Computing: Run code, not servers
x-celerate
 
Releases: Aus Jahren werden Minuten
Releases: Aus Jahren werden MinutenReleases: Aus Jahren werden Minuten
Releases: Aus Jahren werden Minuten
x-celerate
 
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle ProfisClosing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
x-celerate
 
Der Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten UmgebungDer Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten Umgebung
x-celerate
 
Dienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in AzureDienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in Azure
x-celerate
 

Mehr von x-celerate (7)

Monitoring und Logging in Kubernetes
Monitoring und Logging in KubernetesMonitoring und Logging in Kubernetes
Monitoring und Logging in Kubernetes
 
Robustes Testen mit Selenium
Robustes Testen mit SeleniumRobustes Testen mit Selenium
Robustes Testen mit Selenium
 
Serverless Computing: Run code, not servers
Serverless Computing: Run code, not serversServerless Computing: Run code, not servers
Serverless Computing: Run code, not servers
 
Releases: Aus Jahren werden Minuten
Releases: Aus Jahren werden MinutenReleases: Aus Jahren werden Minuten
Releases: Aus Jahren werden Minuten
 
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle ProfisClosing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
Closing Note: Betrieb 24/7 - Entspannt Euch, wir sind doch alle Profis
 
Der Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten UmgebungDer Arbeitsalltag in einer containerisierten Umgebung
Der Arbeitsalltag in einer containerisierten Umgebung
 
Dienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in AzureDienste als Nomaden - Heute in AWS und morgen in Azure
Dienste als Nomaden - Heute in AWS und morgen in Azure
 

Automatisierung von Security Test im Build-Prozess

  • 1. Automatisierung von Security Tests im Build ProzessFirstname Lastname Role @ Company
  • 2. Warum Security Tests? • Breaches 2018 • Facebook 50 Mio accounts • Underarmor 150 Mio MyFitnessPal app users • MyHeritage 92 Mio accounts • Ticketfly 27 Mio accounts • Knuddels 1,8 Mio accounts • Flightradar24 230,000 customer • British Airways 380,000 booking transactions • Ticketmaster UK 40,000 UK customer Seit 2016 wurden >800 eCommerce Plattformen durch Magecart kompromittiert Automatisierung von Security Tests im Build Prozess Folie 2 LB
  • 3. Schaden durch Security Breaches • Geschätzter Schaden 2018 (Studie von IBM Security und Ponemon) • durchschnittlicher Schaden $ 3.5 Mio je Breach • Die durchschnittlichen Kosten eines Breach für Firmen, die automatisierte Sicherheitstests vollständig in ihr Unternehmen eingeführt haben, beträgt $ 2.88 mio • Ohne automatisierte Sicherheitstests beträgt der durchschnittliche Schaden $ 4.4 mio • Automatisierte Sicherheitstests sparen $ 1.55 mio • Ist das auf mein Unternehmen anwendbar? • sicherlich nicht in der Höhe • wohl aber in der Tendenz Automatisierung von Security Tests im Build Prozess Folie 3 LB
  • 4. Zielsetzung • Vulnerabilities so früh wie möglich erkennen • So oft wie möglich nach Vulnerabilities suchen • Einfaches Aufdecken von Vulnerabilities • Schnelles Beheben der Vulnerabilities ermöglichen • Bewusstsein für Sicherheit schaffen • Entwickler • Operations • Management • Vertrauen haben, dass die Anwendung so sicher wie möglich ist Automatisierung von Security Tests im Build Prozess Folie 4 LB
  • 5. Kategorien von Sicherheitstests • Static Application Security Testing (SAST) • Auffinden von Fehlern und Vulnerabilities im Source Code • Scannen des Source Codes, keine Ausführung des Byte Codes • Einhaltung von Coding Styles und Best Practices • White-Box Testing • Dynamic Application Security Testing (DAST) • Auffinden von Fehlern und Vulnerabilities in einer laufenden Anwendung • Crawling und Fuzzing • Black-Box Testing Automatisierung von Security Tests im Build Prozess Folie 5 LB
  • 6. Kategorien von Sicherheitstests • Software Composition Analysis (SCA) oder Origin Analysis • Ca. 80% des Quellcodes einer Anwendung besteht aus Open Source Libraries • Analysen von Open Source Library auf Vulnerabilities und Licenses • Interactive Application Security Testing (IAST) • Agent in der Runtime Engine, der das Applikationsverhalten zur Laufzeit analysiert • Verwendet DAST als Angriffe • Wiederverwendung von automatisierten funktionalen Tests • Runtime Application Self-Protection (RASP) • Hybrid Application Security Testing (HAST) Automatisierung von Security Tests im Build Prozess Folie 6 LB
  • 7. Security Tests für Docker Images • Application Layer • Operating System Layer • Software Libraries • Reporting on Non-Packaged File Automatisierung von Security Tests im Build Prozess Folie 7 LB
  • 8. Fragerunde Wer setzt Static Application Security Testing ein? • 2013 haben diese Frage < 35% aller US Entwickler mit Ja beantwortet Wer setzt Dynamic Application Security Testing ein? Wer setzt Software Composition Analysis ein? • Ca. 80% einer Java Anwendung besteht aus Open Source Komponenten Wer hat Software Security/Secure Coding Guidelines? • Für < 55% der Entwickler in Deutschland hat Security keine hohe Bedeutung Automatisierung von Security Tests im Build Prozess Folie 8 LB
  • 9. Application Security „die Wunderwaffe“? “Application security is not a simple binary choice, whereby you either have security or you don’t. Application security is more of a sliding scale where providing additional security layers helps reduce the risk of an incident, hopefully to an acceptable level of risk for the organization. Thus, application-security testing reduces risk in applications, but cannot completely eliminate it. ” THOMAS SCANLON Automatisierung von Security Tests im Build Prozess Folie 9 LB
  • 10. Open Source vs. kommerzielle Produkte Open Source • Static Application Security Testing • FindBugs/FindSecBugs • PMD • Sonarqube • Dynamic Application Security Testing • Zed Attack Proxy (ZAP) • Xenotix XSS Exploit Framework • Software Composition Analysis • OWASP Dependency-check Automatisierung von Security Tests im Build Prozess Folie 10 LB Kommerziell • Static Application Security Testing • Xanitizer • Fortifx • Coverity • Julial • Dynamic Application Security Testing • Webinspect • Nessus • Software Composition Analysis • NexusLifcycle • Veracode • Coverity
  • 11. Security Tests in der Build Pipeline Automatisierung von Security Tests im Build Prozess Folie 11 LB
  • 12. Security Tests in der Build Pipeline • Einfache CI Pipeline • CI Pipeline with Security Tests Automatisierung von Security Tests im Build Prozess Folie 12 LB
  • 13. Automatisierung von Security Tests im Build Prozess Security Tests in der Build Pipeline • and now a little more advanced
  • 14. Security Tests in der Build Pipeline • Und nun für die Paranoiden unter uns …. Automatisierung von Security Tests im Build Prozess Folie 14 LB
  • 15. SAST Findings – WebGoat/WebWolf Automatisierung von Security Tests im Build Prozess Folie 15 LB
  • 16. SAST Findings SQL Injection Details – WebGoat/WebWolf Automatisierung von Security Tests im Build Prozess Folie 16 LB
  • 17. Software Composition Analysis • Identify Risk in Open Source Components • License Im Durchschnitt besteht eine JAVA Anwendung aus 80% Open Source Library Code Diese Sources und deren Vulnerabilities sind den Angreifern bekannt! Automatisierung von Security Tests im Build Prozess Folie 17 LB 80% 20% Lines of Code Open Source Original Code
  • 18. Software Composition Findings – OWASP Juice Shop Automatisierung von Security Tests im Build Prozess Folie 18 LB
  • 19. Seriously? Automatisierung von Security Tests im Build Prozess Folie 19 LB
  • 20. Einführung von Security Tests in der Realität • Legacy Code/Anwendungen • Sicherheitsbewusstsein und Verantwortung • Wir wurden doch noch nie angegriffen! • Bei uns gibt es nichts zu holen! • Wir sind kein Angriffsziel! • Skill und Mindset • Weg vom das haben wir aber immer so gemacht • Wie kann ich die Vulnerability fixen? • Nicht immer gleich den Build Breaker verwenden • Nicht noch ein Tool • Releasetermine und -zyklen Automatisierung von Security Tests im Build Prozess Folie 20 LB
  • 21. Automatisierung ist nicht genug • Verbindlichkeit und Verantwortung • Prozesse etablieren • Entwickler-/DevOps Team sensibilisieren • Secure Coding Guidelines • Secure Coding/Security Know How aufbauen • Zeit und Budget bereitstellen • Scans nach dem Checkin/Nightly Build sind vielleicht schon zu spät • Patchprozesse und -zyklen • Software Security Lifecycle berücksichtigen Automatisierung von Security Tests im Build Prozess Folie 21 LB
  • 22. Software Security Lifecycle • Software altert • Libraries altern • Angreifer entwickeln neue Vulnerabilities • Kontinuierliche Security Tests von Anwendungen • „eigene“ Build Pipelines für released Anwendungen Automatisierung von Security Tests im Build Prozess Folie 22 LB
  • 23. Stilblüten • Lizenzkosten • Kontaktaufnahme • Email Adresse < 36 Zeichen, keine Telefonnummer oder brauchbare Kontaktdaten • Lasst uns feilschen • CI Integration/Automatisierung • Wir sind eine JAVA Entwicklungsabteilung … • Installation • Mavenplugins Automatisierung von Security Tests im Build Prozess Folie 23 LB
  • 24. Security Tools • SAST • https://www.owasp.org/index.php/Source_Code_Analysis_Tools • https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • https://www.softwaretestinghelp.com/tools/top-40-static-code-analysis-tools/ • DAST • https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools • Software Composition Analysis • https://www.trustradius.com/software-composition-analysis • https://www.itcentralstation.com/categories/software-composition-analysis • Sonstige • https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html Automatisierung von Security Tests im Build Prozess Folie 24 LB
  • 25. Links • Web Security Standard TSS-WEB • DevOps Handbuch von Gene Kim, Jez Humbl u.a. • Ponemon + IBM Studie • Data Breaches 2018 Verizon • Top Threats by Industry Automatisierung von Security Tests im Build Prozess Folie 25 LB
  • 26. Firstname Lastname Role @ Company Vielen Dank