Java Magazin 10.16

Umfang: 100

Erhältlich ab: 07.09.16

Autoren: Michael Hausenblas, Peter Hruschka, Rafael Kansy, Klaus Kreft, Angelika Langer, Mark Lubkowitz, Eugen Melechow, Michael Müller, Michael Plöd, Matthias Pöpping, Mario-Leander Reimer, Lars Röwekamp, Matthias Rohr, Sven Ruppert, Dominik Schadow, Michael Schäfer, Christian Schneider, Simon Scholz, Marco Schulz, Dr. Gernot Starke, Daniel Takai, Lars Vogel, Andreas Zitzelsberger

Sie werden zu unserer Partnerseite entwickler.de weitergeleitet

Magazin

News

Bücher:
Langlebige Software-Architekturen

Java Core

Der Klassiker
Teil 3: Das DynamicObjectAdapter-Pattern im Einsatz
Sven Ruppert

Von Datenstrukturen und Datenströmen
Java 8: Benutzerdefinierte Stream Sources
Klaus Kreft und Angelika Langer

Advanced JPA
Persistenztricks für Fortgeschrittene
Marco Schulz

Tools

Kolumne: Lagebericht Eclipse-IDE
Neuigkeiten und Zukunftspläne
Simon Scholz und Lars Vogel

Titelthema

Sicherheit agil verankern
Secure SDLC
Matthias Pöpping, Matthias Rohr und Christian Schneider

Die Webanwendung schlägt zurück
Sichere Webanwendungen durch Application Intrusion Detection
Dominik Schadow

Angriff auf die Java-Deserialisierung
Anatomie einer Remote Code Execution
Christian Schneider

Die Toolbox für den Pentester
Webanwendungen und Servern gezielt auf den Zahn fühlen
Christian Schneider

Enterprise

Kolumne: EnterpriseTales
Klein, kleiner, AWS Lambda
Lars Röwekamp

Architektur

Microservices lieben Domain-driven Design
Die Renaissance von Domain-driven Design
Michael Plöd

Kolumne: Knigge für Softwarearchitekten
Bimodale IT
Peter Hruschka und Dr. Gernot Starke

Zauberhafte Lösung für Microservices
Dropwizard für Microservices
Eugen Melechow

Cloud Computing

Das Betriebssystem der Cloud
Teil 4: Eine Einführung in Apache Mesos
Michael Hausenblas, Mario-Leander Reimer und Andreas Zitzelsberger

Microservice-Entwicklung erfordert Kompromisse
Teil 4: Cloud Application Development
Rafael Kansy, Mark Lubkowitz und Michael Schäfer

Web

Jeder macht mal Fehler
Teil 13: Verbesserung der Resilienz
Daniel Takai

Plädoyer für eine Securitykultur

Es war einmal, da erkannte man, dass Softwareentwicklung eine komplexe und mit vielen Risiken verknüpfte Angelegenheit ist: Vieles kann schiefgehen. Ein sinnvolles Qualitätsniveau zu halten, ist ein täglicher Kampf. Missverständnisse zwischen Auftraggeber und Auftragnehmer machen Kommunikation zur Qual. Und Sicherheitsprobleme sind immer schon vorprogrammiert. Hinzu kommt das Problem der Produktivität – egal, wie viele Entwickler wir auch hinzufügen, die werden einfach nicht schneller!

Die agile Bewegung hat viele Ursachen solcher Probleme erkannt und Gegenvorschläge entwickelt. Test-driven Development zum Beispiel hilft, Qualitätsfragen nicht erst am Ende des Projekts durch externe Tester zu lösen, sondern bereits im Entwicklungsprozess zu adressieren. Kommunikation soll unbürokratisch, direkt, ohne Hürden der Hierarchie und in hoher Frequenz gemäß durchdachter Spielregeln – etwa Scrum – erfolgen. Und Produktivität, so lehren uns die Agilisten, lässt sich nicht durch quantitative Erhöhung der Ressourcen linear erhöhen. Sie kennen gewiss das Sprichwort, demzufolge neun Mütter in einem Monat nicht das erreichen können, was nur eine Mutter in neun Monaten schafft: ein Kind gebären.

Ich glaube, die fundamentalen Veränderungen, die durch agile Formen in die Welt der Softwareentwicklung gebracht wurden, können nicht hoch genug eingeschätzt werden! Merkwürdigerweise hat es bei dieser Modernisierung des Entwicklungsprozesses bis heute ein Stiefkind gegeben: die Security.

Security ist gemeinhin noch immer die Domäne der Experten und tritt typischerweise erst dann in Aktion, wenn ein bestehendes System nach Schwachstellen untersucht werden soll. Das erinnert an die Qualitätstests, wie sie früher einmal durchgeführt wurden: nach der Entwicklung, von Testexperten, die nicht weiter in den Entwicklungsprozess involviert sind.

Was wäre also, wenn wir analog zum bekannten Test-driven Development (TDD) die Disziplin „Security“ in alle Phasen der Entwicklung und des Deployments integrieren würden? Das wäre nur konsequent und im agilen Geiste.

Ich hoffe, unser umfassender Schwerpunkt bietet viel Inspiration und handfeste Ansätze für eine echte Securitykultur in Ihrem Team!

Ihr Sebastian Meyen, Chefredakteur