Prelegent: Marek Puchalski
Zachodząca w ostatnich latach transformacja procesów wytwarzania oprogramowania idąca w kierunku zespołów zwinnych (pracujących w metodykach agile), wykorzystujących podejście DevOps oraz wdrażających swoje projekty w chmurze, wymaga przemyślenia na nowo wszystkich procesów zapewnienia bezpieczeństwa tworzonych aplikacji. Krótkie sprinty nie pozostawiają już miejsca i komfortu na testy manualne. O ile jednak manualne testy bezpieczeństwa (tzw. pentesty) nie znikną całkowicie, główną osią ochrony stać się muszą testy automatyczne lub półautomatyczne, które muszą zostać zaimplementowane i utrzymywane przez zespół projektowy. To deweloperzy i testerzy muszą teraz umieć odpowiedzieć na pytanie, czym jest bezpieczeństwo w kontekście działania ich systemu oraz które aspekty działania aplikacji stanowią największe ryzyko.

Podczas wykładu odpowiemy na szereg pytań:

• Skąd wynika potrzeba automatyzacji bezpieczeństwa?
• Czym jest bezpieczeństwo aplikacji?
• Skąd brać wymagania dotyczące bezpieczeństwa aplikacji i jak mogą nam w tym pomóc projekty społeczności OWASP takie jak OWASP ASVS?
• W którym miejscu w CI/CD pipeline umieścić testy bezpieczeństwa?
• Jak wyglądają przykładowe testy bezpieczeństwa zrealizowane jako zwykłe testy jednostkowe, a także w oparciu o podejście BDD Security?
• Jak zautomatyzować testy bezpieczeństwa aplikacji przy wykorzystaniu forward proxy takich jak OWASP ZAP, Burp czy też IBM AppScan?

Tagged under:

@MarekPuchalski automatyzacja BDD bezpieczeństwo DevSecOps OWASP prelekcja security