Call for Papers

Du kommst hier net rein! (Oder doch?) ( Vortrag )

Messung der Code-Abdeckung im Rahmen von Penetration Tests

Referent: Dr. Sabine Poehler, Verifysoft Technology GmbH
Vortragsreihe: Security
Zeit: 04.12.18 08:50-09:35

Zielgruppe

Entwicklung

Themenbereiche

Test & Qualitätssicherung, Sichere Software

Schwerpunkt

Methode

Voraussetzungen

Grundlagenwissen

Kurzfassung

Im Bereich der sicherheitskritischen (Safety) Softwareentwicklung ist die Messung der Code-Abdeckung im Rahmen des Testens schon lange ein Standardinstrument. Sie wird in den gängigen Sicherheitsnormen gefordert. Der Vortrag stellt ein neueres Einsatzgebiet für die Abdeckungsanalyse vor: Um eine Software oder ein ganzes System auf Sicherheitslücken zu untersuchen, die Angriffe von außen auf das System ermöglichen, werden Penetration Tests durchgeführt. Die Auswertung dieser Tests lässt sich deutlich vereinfachen, wenn während des Penetration Tests die Code-Abdeckung gemessen wird. Das (Ideal-)Ziel ist dabei, stark vereinfacht, das Gegenteil der klassischen 100%-Coverage: Möglichst wenige Teile der Software sollen unter dem Penetration Test zur Ausführung kommen. Im Vortrag werden die Ziele eines solchen Ansatzes genauer formuliert. Der Schwerpunkt liegt dann aber vor allem auf der praktischen Durchführung und Auswertung eines kombinierten Penetrations- und Abdeckungstests.

Gliederung

- Kurze Einführung in die Abdeckungsmessung
- Abdeckungsmaße und ihre Aussagekraft
- technische Durchführung

- Überblick über die verschiedenen Möglichkeiten, Penetration Tests durchzuführen:
- manuelle Durchführung
- Einsatz von Softwaretools
- Durchführung durch Dienstleister

- Praktische Vorgehensweise im kombinierten Ansatz:
- Definition der Ziele
- Typische Auswertungen von Penetration Tests
- Typische Auswertungen von Abdeckungsmessungen
- Kombinierte Analyse dieser Ergebnisse
- Rolle im kontinuierlichen Verbesserungsprozess

Nutzen und Besonderheiten

Die Teilnehmer bekommen eine konkrete Anregung, wie sich ein im Safety-Umfeld lang erprobtes Instrument effizient für Security-Themen nutzen lässt. Entwickler können mit dem vorgestellten Ansatz schneller und einfacher die Ergebnisse von Penetration Tests nachvollziehen, notwendige Arbeitsschritte ableiten und deren erfolgreiche Umsetzung im Retest prüfen.

Über den Referenten

Sabine Poehler ist bei der Verifysoft Technology GmbH Produktmanagerin für die Produktlinie Testwell, darunter insbesondere für den Code Coverage Analyser Testwell CTC++. Sie ist für die strategische Weiterentwicklung der Testwell-Tools verantwortlich und leitet die Support- und Entwicklungsabteilung. Die Vermittlung von Ideen und Konzepten in heterogenen Teams ist Schwerpunkt ihrer Arbeit.