Call for Papers

Open-Source-Sicherheit: Zeitbomben in meiner Software? ( Vortrag )

Wie ich Open-Source- (und andere) Software richtig manage

Referent: Dr. Ralf Huuck, Synopsys
Vortragsreihe: Open Source
Zeit: 05.12.18 10:35-11:15

Zielgruppe

Management

Themenbereiche

Test & Qualitätssicherung, Software Engineering Management, Sichere Software

Schwerpunkt

Methode

Voraussetzungen

Grundlagenwissen

Kurzfassung

Open Source Software ist ein wichtiger Bestandteil vieler Produkte. Dabei ist die Sicherheit von Open Source Software generell vergleichbar mit selber entwickelter Software. Das Prinzip der „many eyeballs“ hilft, entsprechende Anforderungsstandards zu erreichen. Umgekehrt bedeutet dieses aber, dass Angreifer ebenfalls die verwendeten Open Source Pakete untersuchen können, um eventuelle Schwachstellen auszunutzen. Kritisch ist, dass Sicherheitslücken oftmals erst nach längerer Zeit bekannt werden, wenn die Pakete schon im Produkt verbaut sind. Dieser Vortrag beantwortet einige essentiellen Fragen: Ist dieses in der Praxis ein Problem bei von eingebetteten Systemen? Wie erfahre ich, ob meine Software Schwachstellen hat? Und wie entwickele ich einen Prozess, der mir den tagesaktuellen Sicherheitssand meiner Software anzeigt? Wir greifen dabei auf anonymisierte Resultate von über 140.000 analysierten Produktscans zurück und zeigen einen Weg zur automatisierten Sicherheitskontrolle auf.

Gliederung

* Einleitung
- Wandel der Softwareentwicklungsprozesse: Von Waterfall zu DevOps
- Herausforderungen vom Open Source Sicherheitsmanagement
- Prominente Beispiele von Sicherheitslücken und ihren Auswirkungen
* Open Source Sicherheit in der Praxis
- Sicherheitslücken aus der Analyse von über 140.000 Paketen
- Erfahrungen mit über 1.000 Projekten
* Software Compostion Analysis
- Einführung und technische Hintergründe
- Was bringt mir die Software Composition Analysis?
- Wie manage ich Sicherheitsanforderungen in Binär- und Sourcekomponenten?
- Wie halte ich mich auf dem Laufenden und automatisiere ich?
* Anwendungsbeispiele
- Prozessmanagement für Software Composition Analsysis
- Einbindung in den CI/CD Prozess
- Wer managt was?
* Ausblick
- Was kann ich konkret machen?
- Welche Erfolgsfaktoren soll ich beachten?
- Was bringt die Zukunft?

Nutzen und Besonderheiten

Die Teilnehmer lernen über die Chancen und Sicherheitsrisiken von Open Source in der modernen eingebetteten Softwareentwicklung. Dieses wird fundiert auf weltweite praxisrelevante Studien dargestellt. Insbesondere erhalten die Teilnehmer eine Anleitung, wie man eine Software Composition Analysis in den Sicherheitsprozess mit einbezieht, welche Herausforderungen es dabei gibt und wie man diese erfolgreich meistern kann. Konkrete lernen die Teilnehmer dabei, was die bekanntesten Fehlerquellen sind und wie sie diese in der Zukunft eigenständig vermieden werden können. Abschliessend, zeigen wir auf, welche ersten Schritte man konkret selbstständig mit "Hausmitteln" einleiten kann.

Über den Referenten

Dr. Ralf Huuck ist ein Director und Senior Architect bei Synopsys, Australien. Dr. Huuck ist verantwortlich für die strategische Umsetzung der Software Compliance und Automotive Aktivitäten der Synopsys Software Integrity Group. Zuvor war Dr. Huuck Geschäftsführer von Red Lizard Software, Sydney, und langjähriger Forschungs- und Entwicklungsleiter am Forschungsinstitut, NICTA. Darüber hinaus ist Dr. Huuck Adjunct Associate Professor an der UNSW, Australien, im Bereich Softwaretechnlogien.