Vulnerabilities in Continuous Delivery Pipelines? A Case Study

Immer mehr Unternehmen sind dabei, moderne Praktiken der kontinuierlichen Softwareentwicklung und Ansätze wie Continuous Integration (CI), Continuous Delivery (CD) oder DevOps einzuführen. Diese Ansätze können Unternehmen dabei unterstützen, die Qualität zu erhöhen und die Time-to-Market zu reduzieren.

Um diese Vorteile nutzen zu können, müssen insbesondere die Werkzeuge und die Infrastruktur zuverlässig und sicher sein. Im Falle einer Beeinträchtigung oder gar Nichtverfügbarkeit von CD-Pipelines stehen alle genannten Vorteile auf dem Spiel.

Wir haben eine Fallstudie durchgeführt, um zu identifizieren, welche potenziellen Schwachstellen in CD-Pipelines existieren und wie diese erkannt werden können. Wir haben zwei CD-Pipelines aus Industrieprojekten analysiert, die in einem ausgewählten Unternehmen im praktischen Einsatz waren.

Zur Identifikation der Schwachstellen haben wir die Bedrohungsanalyse STRIDE und ausgewählte Werkzeuge eingesetzt. Dabei wurden insgesamt 22 Schwachstellen identifiziert. Die Ergebnisse der Fallstudie haben dazu geführt, dass einzelne Schwachstellen umgehend beseitigt wurden.

Vorkenntnisse

Die Grundlagen von CD-Pipelines sollten den Besuchern bekannt sein.

Lernziele

* Der Vortrag soll das Sicherheitsbewusstsein der Zuhörer in Bezug auf CD-Pipelines steigern.
* Er soll aufzeigen, welche Schwachstellen in CD-Pipelines vorhanden sein können.
* Zudem werden Methoden gezeigt, wie Schwachstellen in CD-Pipelines erkannt werden können.

 

Speaker

 

Christina Paule
Christina Paule ist bei der Novatec Consulting GmbH als Consultant tätig. Ihre Schwerpunkte liegen auf der agilen Entwicklung von Cloud-nativen Java/Kotlin-Anwendungen auf Basis der Spring-Plattform und in der technischen Beratung im Bereich Design und Entwicklung von Java-Anwendungen. Darüber hinaus beschäftigt sie sich mit der Absicherung von CI/CD-Pipelines (DevOps Security).

Platin-Sponsor

Gold-Sponsoren




Silber-Sponsoren

INNOQ

XebiaLabs

Bronze-Sponsor



CC-Newsletter

Sie möchten über die ContainerConf
auf dem Laufenden gehalten werden?

 

Anmelden