Sicherheit von Anfang bis Ende deines Projekts
Anwendungssicherheit darf nicht einfach nur ein nachgelagerter Sicherheits-Check nach einem Release sein – es muss in den Entwicklungsprozess integriert sein und die ganze Lieferkette miteinbeziehen. Wichtig ist dabei, dass die Sicherheit nicht die Produktivität der Entwickler einschränkt. Heutzutage müssen wir in der Lage sein, schnell und sicher auszuliefern, wenn wir konkurrenzfähig bleiben wollen.
In diesem Tutorial werden wir uns dem Thema Anwendungssicherheit mit einem „Developer-First“-Ansatz nähern. Wir werden dabei das Tooling von GitHub verwenden. Für Open-Source-Projekte sind die meisten Werkzeuge gratis – für Unternehmen wird aber die GitHub Advanced Security fällig!
Optimaler Einstieg
Individuelle Meilensteine
Praxisnahes Expertenwissen
Diese Themen erwarten dich im Tutorial
Teil 1: Developer Security
In diesem Teil werden wir uns ansehen, warum das Thema Sicherheit für Entwickler so wichtig ist und mit welchen Angriffsvektoren Entwicklungsteams rechnen müssen.
Danach geht es um Sicherheit für Entwickler und spezielle Entwicklungsumgebungen. Wir werden uns in einer Demo ansehen, wie virtuelle Entwicklungsumgebungen, wie GitHub Codespaces, nicht nur die Sicherheit sondern auch die Produktivität erhöhen.
Teil 2: Software-Supply-Chain Sicherheit und Dependency-Management
Dieser Teil des Tutorials befasst sich mit der Analyse von Abhängigkeiten (Software Composition Analysis – SCA) und der Verwaltung der Lieferketten. Wir werden uns dazu Dependabot mit allen seinen Features ansehen und über das Thema Software Bill-of-Materials (SBoMs) sprechen.
Teil 3: Secret- und Code-Scanning
In Teil 3 geht es darum Secrets, Passwörter, Tokens und andere geheime Daten wie Kreditkartendaten in Quellcode und auf Netzwerkfreigaben zu finden. Wir werden außerdem über das Thema OICD, Vault und Secret Rotation sprechen.
Außerdem geht es in diesem Teil um Code-Scanning und wie man seine Code-Basis kontinuierlich auf Sicherheitslücken wie Cross-Site-Scripting (XSS), SQL-Injection oder Speicher-Leaks mit Hilfe von statischer Codeanalysen (static application security testing – SAST) überprüfen kann. Wir werden außerdem auch auf das Thema dynamische Codeanalyse (dynamic application security testing – DAST) eingehen.
Teil 4: Custom CodeQL Queries und Security Overview
Zu Beginn des 4. Teils machen wir einen Deep-Dive in eigene CodeQL Abfragen. Wir werden uns ansehen, wie man mit eigenen Abfragen nicht nur Sicherheitslücken finden, sondern auch eigene Qualitätsstandards im Code erzwingen kann.
Danach schauen wir uns das Thema Security Overview an, und wie man in einem Unternehmen das Security Operations Center (SOC) mit in die Anwendungssicherheit einbeziehen kann.
Lerne gemeinsam mit unserem Experten
Michael Kaufmann - Xpirit Deutschland
Michael Kaufmann ist Optimist und glaubt daran, dass Menschen Glück bei der Arbeit finden können. Er liebt DevOps, GitHub, die Cloud und alles, was mit modernen Arbeitsformen zu tun hat. Er arbeitet seit mehr als 20 Jahren als Berater in der IT-Branche und ist Gründer und Geschäftsführer bei der Xpirit Deutschland GmbH. Seinen Kunden hilft er, erfolgreich zu sein: sowohl bei der Adaption der Cloud als auch bei der Transformation zur agilen DevOps-Organisation. Microsoft hat Michael als Microsoft Regional Director (RD) und Microsoft Most Valuable Professional (MVP) ausgezeichnet – Letzteres im Bereich DevOps jedes Jahr seit 2015. Sein Wissen teilt er in Schulungen, als Buchautor und als Sprecher auf internationalen Konferenzen. Du erreichst Michael über seinen Blog, über Twitter oder LinkedIn. |
So kannst du teilnehmen
Du hast bereits Fullstack?
Schnapp dir was zu schreiben und lehn dich zurück. Komme hier direkt zum Fullstack Tutorial und profitiere vom wegweisenden Wissen unseres Experten.
Du hast noch kein Fullstack?
Fullstack-Abonnent:innen haben kostenlosen Zugriff auf das Video-Turorial. Zusätzlich haben Fullstack-Abonnent:innen Zugriff auf Live-Event, Aufzeichnungen und vielen weiter Vorteile.
Für Unternehmen mit mehr als 16 Lizenzen
Wir unterstützen Gewinner-Teams als Softwarelösung bei der digitalen Transformation mit einem einzigartigen Software Know-how Stream, indem wir deinem Team das Wissen und die Zuversicht vermitteln, die es für den Erfolg braucht.
Mit Elevate bieten wir dir und deinem Team jetzt den direkten Zugang zu Team Exzellenz.
Alle Inhalte im Überblick
BASIC
FULLSTACK
FULLSTACK TEAM
Fullstack Read
Fullstack Live-Events
Fullstack Tutorials
Add-ons: Bis zu 25 % Rabatt auf Konferenzen & Trainingsevents
Add-ons: Bis zu 25 % Rabatt auf Akademie Camps & FLEX Camps
Deine Features
BASIC
FULLSTACK
FULLSTACK TEAM
Notizen
Sammlungen
AI-Suche AskFrank
Kuratierte Themenhighlights
Live Chat
Direkt Chat
Rabatte für Conferences, Training Events & Akademie Events
6 Monate Zugriff auf die Videoaufzeichnungen von deinen Conferences
Zertifikate für die Teilnahme an Conferences, Training Events & Akademie Events
Slides bei Teilnahme an Konferenzen und Akademie Events
Kein Administrationsaufwand
Account Manager für alle Fragen