DevSecOps:Automatisierte Sicherheitstests für die Webentwicklung

Einführung in gängige Standards zur Web-Sicherheit, z.B.
- OWASP Top 10, OWASP ASVS und SANS CWE Top 25
- Vor- und Nachteile der individuellen Standards für Compliance- und Securtiy-Checks

Einführung in Kali-Linux und gängige Prüfwerkzeuge für (Web-) Anwendungen
- Abgrenzung der Möglichkeiten und Grenzen von automatisierten „Scannern“, manuellen Pentests und Quellcode-Prüfungen
- Einführung in die Sicht eines Hackers auf Webanwendungen und Pentest-Proxies
- Vorstellung und Anwendung von Werkzeugen und Prüfverfahren im Bereich SAST und DAST

Kennenlernen und verstehen typischer Angriffsvektoren von Webanwendungen:
- SQL-Injections, Command-Injections und co.
- Authentifizierung und Autorisierung
- Cross-Site-Scripting
- HTML5: Tags und Browserspeicher
- JavaScript / client-seitige Eingabevalidierung
- WebSockets
- Cross-Origin-Resource-Sharing
- Verbindungssicherheit / TLS
- Header

Schwachstellen auf System- und Dienstebene erkennen und beheben
- Nutzung automatisierter Werkzeuge
- Härtung und Absicherung von Diensten wie Tomcat auf Linux

Einführung DevSecOps mit Beispielen aus der Praxis
- Was gehört zur CI-/CD-Pipeline mit Fokus auf Sec
- Wie machen es andere Firmen?

Security im agilen Entwicklungsumfeld
- Sicherheit der Entwicklungslandschaft
- Sicherheit der entwickelten Anwendung
- Sicherheit von Dritt-Bibliotheken und co.
- Absicherung der Konfiguration der Anwendungssysteme

Vorstellung möglicher Sec-Anteile in der CI-/CD-Pipeline
- Sec-Tools für eine CI-/CD-Pipeline
- Diskussion bisher verwendeter Tools in der aktuellen Pipeline des Kunden
- Integration von automatisierten Security-Tools in Jenkins („as Code” vs. „Plugin)
- Umgang mit False-Positives bei automatisierten Sicherheitsüberprüfungen
- Grenzen von automatisierten Sicherheitsüberprüfungen und Tools