Continuous Delivery (CD) ist in aller Munde. Zu Recht, denn neben der Möglichkeit, sehr frühzeitig Feedback zu neuen Entwicklungen zu erhalten, erlaubt CD durch Automatisierung von Build-, Deploy- und Testprozessen schnell, zuverlässig und wiederholbar Software auszuliefern, qualitativ hochwertig, mit niedrigem manuellen Aufwand und geringem Risiko.
Doch wollen wir unsere Software kontinuierlich ausliefern, müssen wir auch kontinuierlich Sicherheits-Tests durchführen!
Continuous Security Testing bedeutet, statische und dynamische Analysen bereits während der Entwicklung durchzuführen, um frühzeitig und regelmäßig Sicherheitsmaßnahmen umzusetzen, bevor manuelle Prüfungen wie Penetrationstests zum Einsatz kommen. Um eine Anwendung bereits während der Entwicklung auf das Vorhandensein sicherheitskritischer Schwachstellen hin überprüfen zu können, ist eine Integration in den Entwicklungsprozess und somit eine kontinuierliche und am besten automatisierte Prüfung notwendig.
Der Vortrag stellt die praktischen Erfahrungen aus einem Projekt vor, bei dem Sicherheits-Richtlinien (Secure Coding Guide) für die eigene Entwicklung von Java-Webanwendungen aufgestellt und Sicherheitstests in den Softwareentwicklungsprozess integriert wurden. Dabei wird auf die organisatorischen, inhaltlichen und technischen Überlegungen eingegangen.