Websecurity Reloaded: XSS besiegen, Lieferketten sichern!

Cross-Site Scripting (XSS) ist eine weitverbreitete Bedrohung, die die Sicherheit von Benutzerdaten in Webanwendungen gefährdet. Content-Security-Policy (CSP) bietet eine effektive Abwehr durch die Festlegung von Richtlinien für zulässige Inhaltsquellen. Dieser Talk erläutert die Grundlagen von XSS und die Schutzwirkung von CSP. Besonders wird auf CSP Level 2 und 3 eingegangen, die durch die Verwendung von Hashes und Nonces ein hohes Sicherheitsniveau ermöglichen. Besonderes Augenmerk wird auf die Anwendung von CSPs in Single Page Applications (SPAs) gelegt, wo traditionelle Sicherheitsansätze oft an ihre Grenzen stoßen. Durch praktische Beispiele und Best Practices wird vermittelt, wie CSP effektiv in modernen Webanwendungen implementiert werden kann, um einen robusten Schutz gegen XSS zu bieten und ein sicheres Webumfeld zu fördern.

Angriffe auf Softwarelieferketten gehören zu den größten Angriffsvektoren bei allen Firmen, die in irgendeiner Weise Software herstellen. Aber Software-Supply-Chain-Security muss keine Last sein und Ihren Entwicklungsprozess verlangsamen, wenn es richtig gemacht wird. Durch Automatisierung mit Dependabot und GitHub Advanced Security (GHAS) können Sie Sicherheit ganzheitlich in Ihren Entwicklungsprozess integrieren – ohne dabei die Entwickler auszubremsen oder zu behindern.

In dieser Session lernen Entwickler:innen und DevOps Engineers, wie man mit dem Dependency Graph und Dependabot Schwachstellen in der Lieferkette identifizieren kann und wie man durch Automatisierung seine Abhängigkeiten auf dem neusten Stand halten kann.