![Page 1: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/1.jpg)
Agil, aber sicher?
Security im agilen Entwicklungsprozess 15.3.2016 OWASP Stammtisch München
![Page 2: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/2.jpg)
Über mich
Andreas Falk NovaTec Consulting GmbH [email protected]
@andifalk
@agile_security
Mitglied der
![Page 3: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/3.jpg)
UNSERE SOFTWARE IST DOCH SICHER! SECURITY IST NICHT MEIN JOB!
Agile Security
![Page 4: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/4.jpg)
Verschlüsselung „a la“ stackoverflow.com
Verschiebechiffre:
https://de.wikipedia.org/wiki/ROT13
![Page 5: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/5.jpg)
Nutzerverhalten?
https://www.sicher-im-netz.de/downloads/dsin-sicherheitsindex-2015
![Page 6: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/6.jpg)
Wir haben doch eine „Security“-Firewall !?
„The Great Firewall“
Potentiell unsichere Systeme
„Böse“ Requests „Gute“ Requests?
App A
App B
App C
App D
![Page 7: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/7.jpg)
Wir setzen doch „sichere“ Frameworks und Plattformen ein!?
und viele andere…
![Page 8: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/8.jpg)
Dokumentation, Tests und Security fallen zuerst weg!
Features
Dokumentation
Security / Tests
Features!
![Page 9: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/9.jpg)
Qualität als Maslow‘sche Pyramide
http://gojko.net/2012/05/08/redefining-software-quality Maslow‘sche Pyramide
Selbstverwirklichung
Anerkennung
Soziales
Sicherheit
Grundbedürfnisse
![Page 10: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/10.jpg)
Neue Herausforderungen für Security
Cloud Computing & Big Data
Micro-service
Micro-service Microservices
Internet of Things (IoT)
Big Data NoSQL
Computing
Storage
Map/Reduce
![Page 11: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/11.jpg)
„SICHERE“ AGILE ENTWICKLUNGSPROZESSE (SDLC)
Agile Security
![Page 12: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/12.jpg)
Sichere Entwicklungsprozesse?
Microsoft SDLC https://www.microsoft.com/en-us/sdl
Security @ Adobe https://www.adobe.com/security/proactive-efforts.html
![Page 13: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/13.jpg)
Next Stop: Sichere Agile Entwicklung
![Page 14: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/14.jpg)
Sichere Agile Entwicklung
+ Security?
![Page 15: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/15.jpg)
Sichere Agile Entwicklung – Scrum Framework Elemente
http://guntherverheyen.com/2016/01/29/worrying-interpretations-of-scrum
![Page 16: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/16.jpg)
Ausgangslage: Sicherheit == Agil? Sprint 1 Sprint 2 Sprint …n
Story A
Story B
Story C
Story D
Story E
Story F
Story G
Story H
Penetrationstest Security Features
Go Live
![Page 17: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/17.jpg)
Zeitplanung der Angreifer: 24h x 7d
Zeit
Angriffe
Penetrationstest Penetrationstest
Sprint Sprint Sprint Sprint Sprint Sprint Sprint
DevOps
![Page 18: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/18.jpg)
Auslieferbare Inkremente in Scrum
Das Entwicklungsteam besteht aus Profis, die am Ende eines jeden Sprints ein fertiges Inkrement übergeben, welches potentiell auslieferbar ist.
Potentiell unsicher ausliefern?
http://www.scrumguides.org
“
“
![Page 19: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/19.jpg)
Agile Entwicklung mit Scrum
Sprint
Daily Scrum
Potentiell
auslieferbares
Inkrement
Sprint
Review &
Retro
Sprint
Planning
Sprint
Backlog
Security
Security
Sichere
Product
Backlog
![Page 20: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/20.jpg)
Security Modelle, Vorschriften und Richtlinien
BSI Grundschutz
PCI DSS
BDSG
BSIMM
SAMM
MS SDL ASVS
ITIL
Cobit
SAFECode
Agile Entwicklung
CLASP
Sichere
SABSA TOGAF
![Page 21: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/21.jpg)
OWASP OpenSAMM
https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model
![Page 22: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/22.jpg)
OWASP Application Security Verification Standard (ASVS)
Framework für Sicherheitsanforderungen und -verifikation
Design, Entwicklung und Test
“…reduce the risk from waterfall methodology penetration testing
at the end…”
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
![Page 23: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/23.jpg)
Rollenspezifische Security Trainings
Sicherheits- und Datenschutz-Risiken
Threat Modeling
Spezifikation von Security Features
AbUser Stories („Evil“ Stories)
Product
Owner
Development
Team
Threat Modeling
Secure Design und Coding
Security Code Reviews
Security Testing
Security-Officer
![Page 24: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/24.jpg)
Sichere Agile Entwicklung mit Scrum
Scrum Master Product Owner
Entwickler
Test & QA Security-Officer
![Page 25: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/25.jpg)
Sichere Agile Entwicklung mit Scrum
Threat Modell pflegen
AbUser Stories erstellen
Security-Features mit hoher Prio
Akzeptanzkriterien für Security
Secure „Definition of Ready“
Product Backlog
Story A
Story B
Abuse Story
Security
Features
![Page 26: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/26.jpg)
Threat Modeling ist auch „Agil“
1
2
3
4
6
5
Produktiv Code
erstellen
Security-Tests Grün!
Test Driven
Development (TDD)
Zuerst die Security Tests
Security Testfälle und
AbUser Stories
Absicherung gegen
Bedrohungen
Threat Model
Als
Diskussions-Basis
Identifikation und
Vermeidung
von Bedrohungen
„Elevation of privilege“ Spiel
Festlegung Software-
Architektur
User Stories,
UML Diagramme
![Page 27: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/27.jpg)
AbUser Stories
Business User
Story
AbUser Story 1
AbUser Story N
…
Als Kunde möchte ich
Produkte auswählen
und zum Warenkorb
hinzufügen um diese zu
kaufen.
Als Angreifer möchte
ich Anfragen so
manipulieren um Preise
der Produkte im
Warenkorb zu ändern.
![Page 28: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/28.jpg)
Beispiel: AbUser und Security User Stories
![Page 29: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/29.jpg)
Sichere Agile Entwicklung mit Scrum
Detaillierung Threat Modell
AbUser Story Tasks
Security-Feature Tasks
Security Akzeptanzkriterien
Security-Testfälle
Sprint Planning
![Page 30: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/30.jpg)
Beispiel: Tasks für AbUser Stories
![Page 31: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/31.jpg)
Sichere Agile Entwicklung mit Scrum
Neue Security-Risiken diskutieren
Security Tasks ggf. neu planen
Sprint
Daily
Scrum
Secure Design / Coding
Pairing mit Security-Officer
„Security-Aware“ Definition of Done
Security Regressions-Testing (CI)
Security Code Reviews
![Page 32: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/32.jpg)
Secure Design / Coding – Security Patterns
Clean Code
Input Validierung
Output Escaping
Prepared SQL Statements
Keine Fehlerdetails in UI
Session Management
Access Controls
![Page 33: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/33.jpg)
Secure Design / Coding – Sichere Fehlermeldungen
![Page 34: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/34.jpg)
Secure Design / Coding – Standard Frameworks
Standard Kryptographie
Keyczar, Bouncy Castle, Jasypt
Frameworks mit Validierung / Escaping
JavaServer Faces Spring MVC + Thymeleaf Vaadin (GWT)
Robuste Security Frameworks
Java EE Security Spring Security Apache Shiro OWASP ESAPI
![Page 35: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/35.jpg)
DEMO: EINE SICHERE WEBANWENDUNG IN 5 MINUTEN
https://start.spring.io
![Page 36: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/36.jpg)
Agile Security Testing
![Page 37: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/37.jpg)
Agile Security Testing – Statische Code Analyse
+
![Page 38: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/38.jpg)
Agile Security Testing – Code Review
Code-Reviews (GitHub, GitLab, Gerrit, BitBucket, …)
![Page 39: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/39.jpg)
Agile Security Testing - Test-Pyramide
Technology
Business
Detail
Complexity / Cost Manual,
Exploratory
Testing
Automated UI-Tests
Service Layer Tests
(API-Layer)
Integrationstests
Unit Tests
Quantity
Cri
spin
, Lis
a; G
reg
ory
, Jan
et (
20
08
). A
gil
e T
esti
ng
:
Unit & Component Tests
Security
![Page 40: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/40.jpg)
Agile Security Testing – Security-Integrationstests
@Test public void verifyAdminPathAuthorizeOK() throws Exception { this.mvc.perform( get( "/admin" ) .with(user("admin").password("admin").roles("ADMIN") ) ) .andExpect ( status ().isOk () ); } @Test public void verifyAdminPathAuthorizeNOK() throws Exception { this.mvc.perform ( get( "/admin")
.with(user("user").password("secure").roles("USER") ) ) .andExpect ( status ().isForbidden () ); }
![Page 41: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/41.jpg)
Stage 1: Statisches Security Testing Continuous Integration (CI)
Developer 1
1 Pull-Request
2 Trigger Build
3 Check-Out 4
Build & Tests
& Static Code Analysis
& Dependency Check
5 Report Build Result
Developer 2 6 (Security) Code-
Review
7 Push to Stable
![Page 42: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/42.jpg)
Stage 2: Dynamisches Security-Testing
Acceptance Testing
UI-Testing 2 1 Deploy
4
Reporting 3 Active Scanning
Proxy
![Page 43: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/43.jpg)
Sichere Agile Entwicklung mit Scrum
Review Threat Model Abdeckung
Review von…
…AbUser Stories
…Security Akzeptanzkriterien
Transparenz der Security gegenüber Kunde
„Inspect And Adapt“ aller Security- Aktivitäten
Sprint Review
& Retro
![Page 44: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/44.jpg)
Idealzustand: Security == Agile! Sprint 1 Sprint 2 Sprint …n
Story A
Story B
Story C
Story D
Story E
Story F
Story G
Story H
Pen-Test
AbUser Story
AbUser Story
Security Features
Go Live
![Page 45: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/45.jpg)
SECURE DEVOPS Agile Security
![Page 46: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/46.jpg)
SecDevOps = Security + DevOps
Kommunikation
Zusammenarbeit
Werkzeuge
Continuous Delivery
![Page 47: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/47.jpg)
SecDevOps = Security + DevOps
Sprint
Auslieferbares
Inkrement
Betrieb /
Support
Security Security
Product
Backlog
Continuous Delivery
![Page 48: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/48.jpg)
SecDevOps = Security + DevOps
Betriebssystem
Java VM / Datenbank
Applikationsserver
3rd Party Bibliotheken
Anwendungscode
Netzwerk-Firewall
Web-Anwendungs-
Firewall
Netzwerk
SSL
Security Security
![Page 49: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/49.jpg)
SecDevOps = Security + DevOps
Scrum Master
Product Owner
Entwickler
Test & QA
Betrieb & Support
Security-Officer
![Page 50: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/50.jpg)
SecDevOps – Testing „Infrastructure As Code“
/usr/bin/ruby -S rspec spec/www.example.jp/sample_spec.rb
Package "httpd" should be installed
Service "httpd"
should be enabled
should be running
Port "8443"
should be listening
Finished in 0.21091 seconds (files took 6.37 seconds to load)
4 examples, 0 failures
http://serverspec.org
![Page 51: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/51.jpg)
SecDevOps – Kostenlose SSL-Zertifikate
https://letsencrypt.org
HTTPS für alle Websites !!
![Page 52: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/52.jpg)
SecDevOps – Sichere TLS (SSL) Konfiguration
https://www.ssllabs.com/ssltest/index.html
![Page 53: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/53.jpg)
SecDevOps – HTTP Response-Header
https://securityheaders.io
![Page 54: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/54.jpg)
Fazit
Ausbildung für Security
Security transparent machen
Security-Aktivitäten im gesamten Entwicklungsprozess
http://www.gameofhacks.com
http://www.itsecgames.com
![Page 55: Agil, aber sicher? 2016. 3. 22. · OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test](https://reader036.vdocuments.us/reader036/viewer/2022063020/5fe331dfec8a58450d4070d2/html5/thumbnails/55.jpg)
30.06.2016 / 01.07.2016
https://2016.appsec.eu
Building secure cloud-native
applications with spring boot
and spring security