Der SDL für die Westentasche

Die Kenntnis über Risiken und Angriffsvektoren ist der Schlüssel zu sicherer Software. Auch wenn Schlangenölverkäufer immer wieder einfache Lösungen anpreisen, lässt sich der zunehmenden Komplexität von Software nur durch eine strukturierte Bedrohungsanalyse Herr werden. Als Schlüsselelement eines sicheren Softwareentwicklungsprozesses hat sich dabei das Threat Modeling herauskristallisiert. Ein zur Designphase erstelltes, umfassendes Threat Model ist die Blaupause für die Implementierung und am Ende des Projekts die Checkliste für Penetrationstests.

Der Vortrag zeigt, wie Threat Modeling funktioniert und wie sich ein Threat Model bestmöglich in den Entwicklungsprozess einbetten lässt.

Vorkenntnisse

Besucher sollten sich mit App-Programmierung auskennen. Die Beispiel-App zum Vortrag wird in Flutter programmiert; der kryptographische Teil nativ in Swift.

Lernziele

Dieser Vortrag zeigt die Erstellung eines Threat Model anhand eines praktischen Beispiels, einer App. Das Threat Model sowie sämtliche Maßnahmen werden an der Beispiel-App demonstriert. Um den Bogen zum Testing zu schließen, werden die implementierten Maßnahmen abschließend einer Sicherheitsanalyse unterzogen. Live-Coding und Live-Hacking in einem Vortrag. What could possibly go wrong?

Speaker

 

Klaus Rodewig
Klaus Rodewig ist Entwicklungsleiter bei der modone GmbH. Er berät seit über 10 Jahren Kunden im Bereich der sicheren Softwareentwicklung und hat zahlreiche Bücher und Publikationen über (sichere) App-Entwicklung veröffentlicht. Er ist überdies Mitglied im Expertenkreis Cyber-Sicherheit des BSI.

Sven Faßbender
Sven Faßbender ist Teamleiter und Information-Sicherheit-Analyst bei der modzero AG. Er kann auf mehrjährige Erfahrung in der Prüfung von sicherheitsrelevanten Infrastrukturen und Systemen zurückblicken. Das persönliche Interesse liegt bei der Informationssicherheit und deren Umsetzung im Gesundheitswesen.

heise-MacDev-Newsletter

Ihr möchtet über die heise MacDev
auf dem Laufenden gehalten werden?

 

Anmelden