SecureCodeBox - Automatisierte Security Scans in der agilen Entwicklung
In der agilen Software-Entwicklung ist es üblich, neue Versionen von Software-Komponenten innerhalb kurzer Zeitintervalle zu deployen. CI-/CD-Pipelines stellen an Quality Gates sicher, dass die Software funktional korrekt ist und bestimmte Qualitätskriterien einhält.
Ein Aspekt, der hierbei oft zu kurz kommt, ist das Thema Security. Auch wenn neue Software inzwischen kontinuierlich ausgerollt wird, werden Softwarekomponenten in der Praxis meist entweder gar nicht oder nur sporadisch mittels manuell ausgeführter Penetrationstests auf Sicherheitslücken hin untersucht.
Im Vortrag stellen wir das Open-Source-Framework secureCodeBox vor. Es erlaubt, Schwachstellen bereits während der Entwicklung zu identifizieren und ergänzt Penetrationstests durch die Integration automatisierter Sicherheitsscans im CI-/CD-Prozess.
Michael Lörscher, iteratec GmbH
Michael Lörscher, Lead Software Ingenieur bei der iteratec GmbH, befasst sich seit 2010 mit dem Thema IT-Sicherheit. Er hat in verschiedenen Kundenprojekten Sicherheitskonzepte erstellt und umgesetzt. Akuell beschäftigt ihn insbesondere die Herausforderung, Security in agilen Entwicklungsprojekten zu verankern.
Dieser Herausforderung stellt er sich nicht nur in Kundenprojekten, sondern auch als Security Koordinator am Standort Frankfurt.
Victor-Philipp Negoescu, iteratec GmbH
Victor-Philipp Negoescu ist Senior Software Engineer bei der iteratec GmbH. Er war an der Entwicklung der secureCodeBox beteiligt, im Mittelpunkt lag die Integration neuer Security-Scanner und die Einbindung des Frameworks in die Build-Pipeline.