Security

AppSec in DevOps-Geschwindigkeit im Open-Source-Zeitalter

In der Welt von DevOps sind herkömmliche Sicherheitsaspekte nicht mehr ausreichend. Wie kann man also die „AppSec“ verbessern? Welchen neuen Herausforderungen sehen sich Sicherheitsexperten nun gegenüber, da die DevOps-Bewegung an Zulauf und Reife gewinnt? Im Interview mit JAXenter von der DevOps Conference 2018 in Berlin spricht Tim Mackey, Technical Evangelist für Black Duck bei Synopsys, über all diese Dinge und mehr.

Microservices Security: Wie aus dem Monolithen eine sichere Microservices-Architektur wird

Die Notwendigkeit der Authentisierung und Autorisierung der Nutzer eines Anwendungssystems steht außer Frage und wird durch moderne Standards hinreichend unterstützt. In einer Microservices-Architektur besteht allerdings zusätzlich Bedarf, die Schnittstelle jedes einzelnen Service abzusichern, um den Zugriff auf die zur Verfügung gestellten Ressourcen zu beschränken. In seiner Session von der W-JAX 2017 zeigt Wolfgang Strunk, Projektbereichsleiter für den Bereich Car-Sharing und Mobilitätsservices bei der iteratec GmbH, die Einführung einer Sicherheitsarchitektur im Rahmen der Ablösung eines Monolithen durch Microservices.

Incident Response: Was passiert, wenn etwas passiert?

Wissen Sie, was Sie tun werden, wenn Ihr Rechner, Ihr lokales Netz oder Ihr Webserver angegriffen, womöglich sogar erfolgreich kompromittiert wird? Oder wenn in Ihrem Code eine Schwachstelle gefunden wird? Hoffentlich, denn sonst haben Sie im Ernstfall ein Problem.

„Nutzer sollten verantwortungsvoller bei der Nutzung von Open-Source-Software sein“

Open Source bietet viele Vorteile, das kann niemand bestreiten. Zudem ist Open Source in einer einmaligen Position, wenn es um die Begegnung der heutigen Probeleme in Sachen Sicherheit geht. Wir sprachen mit Yossi Weinberg, Softwareentwickler bei WhiteSource, wie WhiteSorce die Projekte seiner Anwender absichert, warum Open-Source-Management absolut essentiell ist und schließlich auch darüber, wie sich der Kauf von GutHub durch Microsoft auf die Community auswirken wird.

Stolperfallen der EU-DSGVO: Worauf Softwareentwickler achten müssen!

Die neue EU-Datenschutz-Grundverordnung (DSGVO) findet nach einer zweijährigen Übergangszeit am 25. Mai 2018 ihre Anwendung. Unternehmen benötigen daher, abgesehen von geschultem Personal, die richtige Software, um den hohen Anforderungen im Datenschutz gerecht zu werden. Entwickler und Programmierer sollten unbedingt die grundlegenden Vorgaben kennen, um mögliche Abmahnungen und Bußgelder zu vermeiden.

Kubernetes Security: Best Practices für die sichere Nutzung von Containern

Da sich die Nutzung von Containern nach wie vor einer wachsenden Beliebtheit erfreuen, sollte man das Thema Sicherheit nicht aus den Augen verlieren. Besonders die sichere Nutzung der Orchestrierungsplattform Kubernetes ist in dem Zusammenhang ein wichtiger Faktor. Michael Hausenblas, Developer Advocate für Go, Kubernetes und OpenShift bei Red Hat, erklärt im Interview mit welchen Tools und Best Practices es gibt, um Container-Anwendungen sicher zu betreiben.

Auf den Spuren des Angreifers: Das Protokoll einer Cyberattacke

Ein warmer Sommertag, es ist gerade Mittag in Shanghai. In einem dunklen Raum in einem unauffälligen Gebäude sitzt ein Hacker und durchforstet das Netzwerk eines Konzerns, der eine sechsstellige Zahl an Endpunkten betreibt. Die Ziele hat der Angreifer von „oben“ erhalten, es ist nicht sein einziges „Projekt“, an dem er gerade arbeitet, aber sein delikatestes. Schauen wir uns das Protokoll eines Cyberangriffs auf einen internationalen Großkonzern vom initialen Einbruch über eine bereits damals bekannte Struts-2-Lücke bis zur Entfernung des Angreifers aus dem Unternehmensnetz an.

Quantenkryptografie: Datenverschlüsselung im Postquantenzeitalter

Quantencomputer verfügen über genügend Rechenleistung, um komplexe Verschlüsselungsverfahren auszuhebeln. Die gute Nachricht: Bewährte Verschlüsselungslösungen wie Hardwaresicherheitsmodule (HSM) sind schon heute verfügbar und lassen sich für das Postquantenzeitalter rüsten. Mit dem richtigen Know-how stehen Unternehmen und öffentliche Auftraggeber Cyberangriffen mit Quantencomputern nicht schutzlos gegenüber. Es ist allerdings höchste Zeit, die IT-Sicherheitsstrategie anzupassen.

Planet Android: Verschlüsselung in Android P und das Huawei P20 nimmt Gestalt an

Seit etwa einer Woche dürfen Entwickler durch die Developers Preview einen ersten Blick auf Android P werfen. Mit Android P wird sich Verschiedenes ändern, keine Frage. Auf Planet Android berichten wir diesmal, was sich mit der neuen Android-Version in Sachen Sicherheit und Verschlüsselung tut. Daneben schauen wir uns an, welche mehr oder weniger bestätigten Gerüchte zu Huaweis neuem Flaggschiff P20 aktuell in der Szene die Runde machen.

Spring Boot 2 – eine Einführung: Actuator 2.0

Eines der wohl beliebtesten Module, die Spring Boot mit sich bringt, ist wohl das Spring-Boot-Actuator-Modul. In der Aktorik, einem Bereich aus der Antriebstechnik, bezeichnen Aktoren Antriebselemente, die aktiv in den jeweiligen Prozess eingreifen und gewünschte Veränderungen herbeiführen. Aktoren haben oftmals eine große Hebelwirkung: Kleine Änderungen führen zu großer Bewegung. Als Kernbestandteil von Spring Boot 2 erfährt dieses Modul einige Änderungen.

Toolbox für Sicherheitsexperten: Halbautomatisches Pentesting mit Open Source Tools

Sicherheit geht vor, gerade in der Welt der Web-Anwendungen. In seiner Session von der DevOps Conference 2017 in Berlin gibt Christian Schneider, Sicherheitsexperte und freiberuflicher Softwareentwickler, eine umfangreiche Übersicht über die Open Source Tools, die von Security-Spezialisten und Pentestern im Berufsalltag eingesetzt werden, um Sicherheitslücken aufzudecken.