In diesem Teil werden wir uns ansehen, warum das Thema Sicherheit für Entwickler so wichtig ist und mit welchen Angriffsvektoren Entwicklungsteams rechnen müssen.

Danach geht es um Sicherheit für Entwickler und spezielle Entwicklungsumgebungen. Wir werden uns in einer Demo ansehen, wie virtuelle Entwicklungsumgebungen, wie GitHub Codespaces, nicht nur die Sicherheit sondern auch die Produktivität erhöhen.

Dieser Teil des Tutorials befasst sich mit der Analyse von Abhängigkeiten (Software Composition Analysis – SCA) und der Verwaltung der Lieferketten. Wir werden uns dazu Dependabot mit allen seinen Features ansehen und über das Thema Software Bill-of-Materials (SBoMs) sprechen.

In Teil 3 geht es darum Secrets, Passwörter, Tokens und andere geheime Daten wie Kreditkartendaten in Quellcode und auf Netzwerkfreigaben zu finden. Wir werden außerdem über das Thema OICD, Vault und Secret Rotation sprechen.

Außerdem geht es in diesem Teil um Code-Scanning und wie man seine Code-Basis kontinuierlich auf Sicherheitslücken wie Cross-Site-Scripting (XSS), SQL-Injection oder Speicher-Leaks mit Hilfe von statischer Codeanalysen (static application security testing – SAST) überprüfen kann. Wir werden außerdem auch auf das Thema dynamische Codeanalyse (dynamic application security testing – DAST) eingehen.

Zu Beginn des 4. Teils machen wir einen Deep-Dive in eigene CodeQL Abfragen. Wir werden uns ansehen, wie man mit eigenen Abfragen nicht nur Sicherheitslücken finden, sondern auch eigene Qualitätsstandards im Code erzwingen kann.

Danach schauen wir uns das Thema Security Overview an, und wie man in einem Unternehmen das Security Operations Center (SOC) mit in die Anwendungssicherheit einbeziehen kann.