IT Security Summit 2020
18. - 20. Mai 2020 | München
Das große Trainingsevent für IT-Security

Agile Threat Modeling the DevSecOps Way

Keynote
Infos
Montag, 11. November 2019
09:00 - 09:45
Raum:
Music Hall 1

Nachdem die Herausforderung, Security in agile Projektmethoden und DevOps-Verfahren zu integrieren, mittels DevSecOps angegangen wurde, steht direkt das nächste Integrationsproblem vor der Tür: Bedrohungsmodellierung!

Wenn wir durch Pipeline-as-Code zuverlässig, reproduzierbar und jederzeit schnell unsere Software bauen können und nun auch durch passende Werkzeuge Securityscans automatisiert haben, wie können wir dann die Risikolandschaft unserer Projekte ebenfalls schnell erfassen?

Eigentlich geschieht sowas in aufwändigen Workshops mit viel Diskussion sowie Modellarbeit am Whiteboard mit Kästchen, Linien & Wolken. Diese Veranstaltungen sind durchaus sinnvoll und wichtig, da nur mit dieser Tiefe manche Bedrohungen in einer Architektur rechtzeitig erkannt werden. Schade nur, dass es meistens dann auch aufhört: Anstelle einer lebenden Dokumentation entsteht ein langsam aber sicher erodierendes Artefakt.

Um diesem Verfallsprozess entgegenzuwirken, muss etwas kontinuierliches her, etwas wie "Threat Model as Code" im DevSecOps-Sinne. Sehen Sie in dieser Keynote die Ideen hinter diesem Ansatz: Agiles und Entwicklerfreundliches Bedrohungsmodellieren — ganz stilecht mit einer Live-Demo eines frei verfügbaren Werkzeuges.

Ergebnis? In Entwickler-IDEs editierbare und in Git diffbare Modelle, automatisch abgeleitete Risiken inklusive grafischer Diagramm- und Reportgenerierung mit Maßnahmenempfehlungen. Die Architektur ändert sich? Ein erneuter Lauf und Sie haben die aktuelle Risikosicht…

Alle News zum IT Security Summit