Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015
|
|
- Susanne Kopp
- vor 8 Jahren
- Abrufe
Transkript
1 Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015
2 Über mich Matthias Rohr Geschäftsführer der Secodis GmbH in Hamburg In der Applikationssicherheit seit 2004 aktiv Medien Inf. (FH), CISSP, CSSLP, CISM, CCSK Gründungsmitglied des deutschen OWASP Chapters und an zahlreichen OWASP Projekten beteiligt. 86 % Secodis GmbH Webanwendungen Gegründet 2013 am Standort Hamburg Schwerpunkt: Nachhaltige Verankerung von Sicherheit im Software Entwicklungsprozess Produktunabhängig, jedoch enger technischer Austausch mit diversen Herstellern (u.a. HP, Checkmarx, Veracode) 14 % Infrastruktur 2
3 Motivation (1) Sicherheit als Querschnittsthema 1) Sicherheit erst spät im Entwicklungsprozess zu adressieren ist teuer.. und wird dadurch gerne auf das Notwendigste reduziert. 2) Späte Testmethodiken (z.b. Pentests) sind oftmals nur bedingt geeignet, um Fehler in frühen Phasen überhaupt zu identifizieren. Sicherheit ist ein Querschnittsthema, welches in allen Phasen der Entwicklung durch angemessene Maßnahmen adressiert werden muss! 3
4 Motivation (2) Nachhaltigkeit & Angemessenheit Ansätze mit der Sicherheit in der Webentwicklung adressiert werden: 86 % Webanwendungen 14 % Infrastruktur 4
5 Existierende Standards und Projekte Microsoft SDL / SDL for Agile: Cigital Touchpoints / Build Security In Initiative (US Homeland Security) ISO % Webanwendungen BSIMM ( Studie über 67 Unternehmen) OpenSAMM ( Best Practices der OWASP): 14 % Infrastruktur Prozesse Organisation 5
6 BSIMM Core Activities 14 % Infrastruktur 86 % Webanwendungen 6
7 Elemente organisatorischer Anwendungssicherheit Organisation Rollen / Zuständigkeiten Prozesse / Abnahmen Budget / Planung Einbindung / Ownershaft Technologien Tools / Sec. Monitoring Secure Defaults / APIs Secure Ecosystem (Dev Env) Einbindung/ Ownershaft Aufbau von Know How Secodis GmbH Vorgaben Qualifikation Security Standards Secure Coding Guidelines Zulieferervorgaben Aufbau von Know How Schulungen / Awareness Coaching Wikis / Doku 7
8 3. Organisation / Prozesse
9 Probleme klassischer Sicherheitsmaßnahmen in einer agilen Welt Klassisches Vorgehen Agile Entwicklung DEVOps Release-Zyklen Monate / Jahre Wochen Stunden Externe Sicherheitsmaßnahmen Interne Sicherheitsmaßnahmen Innerhalb von Releases Außerhalb von Releases Innerhalb von Releases Außerhalb von Releases Sicherheitskonzepte, Pentests, Sec. Code Reviews Fehlendes Know How???? Sicherheitskonzepte, Pentests, Sec. Code Reviews???????????? Kurze Release Zyklen 9
10 Security Gates (SG) Variante des Quality Gates, durch welche flexible Sicherheitskontrollpunkte an bestimmten Stellen des Entwicklungsprozesses etabliert. Verschiedene Formen, z.b.: Statement: Projekt/Team dokumentiert bestimmte Sicherheitsanforderungen. Review: Durchführung festgelegter Sicherheitsprüfungen (auch innerhalb des Teams). Sign Off (Abnahme): Nächster Prozessschritt nur mit formeller Freigabe durch autorisierte Stelle (z.b. IT Sicherheit). Security Gates können optional oder verpflichtend sein und unterschiedliche Inhalte besitzen (z.b. in Abhängigkeit vom Schutzbedarf) 10
11 Wichtige Security Gates SG1: Initiales Security Gate Festlegung welche Maßnahmen umzusetzen und welche Gates mit welchen Prüfungen zu durchlaufen sind. Bei Changes: Bewerten ob Change sicherheitsrelevant und ggf. Einbinden der Sicherheit (siehe später). SG1 SG2: Abnahme des technischen Designs Abnahme von z.b. Sicherheitsarchitektur oder Sicherheitskonzept SG3 SG2 SG3: Finale Sicherheitsabnahme (FSB) Prüfung ob in SG1 festgelegte Maßnahmen umgesetzt wurden. Prüfung der Ergebnisse ggf. durchgeführter Sicherheitstests (z.b. Pentests). Bewertung von offenen Sicherheitsproblemen. 11
12 Security Change Management Arten von Changes Typ 1: Nicht Sicherheitsrelevant Basis: Security Indikator (Prüfung in SG1) Beispiel: Änderungen der Font Größe Keine Sicherheitsmaßnahmen / Security Gates / Tests erforderlich (=> kein SG2 oder SG3) Typ 2: Potentiell oder bestimmt Sicherheitsrelevant Basis: Security Indikator (Prüfung in SG1) Change wird als sicherheitsrelevant geflaggt Bei externen Anwendungen: Dedizierter Sicherheitstests der konkreten Änderung. IT Sicherheit wird eingebunden und ggf. weitere Maßnahmen abgestimmt. Typ 3: Änderungen an Sicherheitsfunktionen Werden nur im Rahmen eines Security Changes geändert und erfordern explizite Freigaben und Planung Sollten nicht in jedem Sprint durchgeführt werden Entwicklung über separaten Release Prozess möglich. Beispiel für Security Indikator Änderungen an (externen) Schnittstellen oder Änderungen bzgl. Der Verarbeitung vertraulicher Daten (Logging, Validierung, etc.) oder Änderungen an Rollen oder Berechtigungen oder Es liegen sonstige Sicherheitsbedenken vor. 12
13 Maßnahmen für Agile Sicherheit (Auswahl) Automatisierung (Tools, Integ. in Jenkins etc.) Sichere Standards (Secure Defaults) Security Change Management Mehrschichtige Sicherheit Peer (Security) Reviews Bucket / Every Sprint Requirements Security User Stories / Tasks Tagging von Sec Related Stories / Tasks Planung & Eigenverantwortung im Team! Sprint Planning Meeting Update product backlog Sprint retrospective SCRUM PROCESS Daily Cycle Sprint review Product Increment 13
14 Security Champions Lokale Zuständigkeit für Applikationssicherheit Rolle (z.b. Entwickler), welche: Ansprechpartner innerhalb des Teams und zur IT Sicherheit für Sicherheitsthemen ist als interner Multiplikator dient, aktuelle Sicherheitsvorgaben kennt, Sicherheitstools bedient kann, Interne Sicherheitsmaßnahmen koordiniert und sich auf dem Laufenden im Hinblick auf Sicherheitsthemen hält. Häufiges Modell: Pro Team / Projekt ist ein Security Champion zu bestimmen. 14
15 Software Security Groups (SSGs)» Interne Arbeitsgruppe / Community welche die Verbesserung der SW-Sicherheit in der Organisation zum Auftrag hat «Aufgaben: Diskussion und Verabschieden von Maßnahmen/Vorgaben (z.b. in Form von Standards), Tools und aktueller Risiken Dokumentation / Wiki Organisation von Awareness Maßnahmen Mitglieder (ständige & fallbezogene), z.b.: IT Sicherheits Management (Lead )Entwickler Security Champions Security Tester / QA Operations (optional) All 67 firms agree that the success of their program hinges on having an internal group devoted to software security the SSG. SSG size on average is people (BSIMM V) 15
16 Security Tests Ziel: Langfristig Sicherheitstests zumindest teilweise auch innerhalb der Organisation durchzuführen Schritt 0: Externe Pentests Große Abhängig vom Tester, Ergebnis: PDF Berichte, sehr eingeschränkte Nachhaltigkeit Schritt 1: Verbesserung der Qualität externer Pentests Risiko basiertes Testen, CVSS Scorings, Security Bug Bars, Security Testfallkatalog, etc. Schritt 2: Internes Security Testing (z.b. durch Qualitätssicherung) Beispiel 1: Reflected XSS: ><script>alert(0)</script> Beispiel 2: Horizontale Priv. Erweiterung: Zugriff auf Objekt IDs (z.b.?obj=1234) mit unterschiedlichen Rollen testen Security Peer Reviews (z.b. per gerrit, Crucible) Automatisierte Tests durch Tools (später mehr) 16
17 1. Vorgaben
18 Die Elfenbeinturm-Problematik IS Policys (ISMS) POLICYS High Level Vorgaben Techn und Implement Unspezifisich? Application Security Standards Entwicklungs Richtlinien / Coding Guidelines ENTW. RICHTLINIEN Häufig Vermengung von Anforderungen auf unterschiedlichen Ebenen 18
19 Die Lösung der Elfenbeinturm-Problematik IS Policys (ISMS) POLICYS High Level Vorgaben Techn. und Implement Unspezifisich Application Security Standards STANDARDS Verpflichtend Techn. Spezifisch (z.b. Web) Implement Unspezifisch Secure Coding Secure Coding Guidelines Guidelines GUIDELINES Empfehlungen Techn. Spezifisch (z.b. Web) Implementierungs Spezifisch (z.b. Java) 19
20 (Web-)AppSec-Standard: TSS-WEB» Vorlage für einen technisch organisatorischen Sicherheitsstandard für Webanwendungen «Enthält exemplarische Vorgaben für u.a.: Sicherheit im Entwicklungsprozess Implementierung (Validierung, Auth, etc.) Betrieb / Härtung der Plattform HTTP Security Header Software Zulieferer Sicherheit von Programmcode Sicherheitstests 20
21 (Agile) Secure Coding Guidelines Coding Guidelines dienen dazu die Vorgaben aus dem Standard für die Entwickler zu konkretisieren. Besser als statische Dokumente sind hierfür Wikis (z.b. Confluence, Mediawiki) geeignet: Zusätzlich wichtig: Secure Defaults! 21
22 2. Technologien
23 Secure Defaults (Sichere Standards) Sichere Standards (inkl. Einstellungen) sind entscheidend bei Agiler Sicherheit! Technologie Entscheidungen können große Auswirkung auf die Sicherheit haben (insb. bei Webframeworks, Security APIs) Erweiterung vorhandener Frameworks um Security Funktionen / Ref Apps. Beispiele: 1. Whitelisting (explizites Erlauben) statt Blacklisting (explizites Verbieten) 2. Sichere Krypto Standards und einfache APIs (z.b. encrypt(string), z.b. mit keyczar 3. Default Deny Prinzip: Zugriffe werden standardmäßig unterbunden und müssen explizit freigeschaltet werden 4. Minimierung der Angriffsfläche: Was nicht benötigt wird, wird abgeschaltet (Funktionen, Schnittstellen, Dienste, Parameter, etc.): 5. Implizite Enkodierung der Ausgaben durch das Framework (z.b. bei GWT), Alternativ Vorschlag für DevOPS: HTML Enkodierung aller Eingaben. 23
24 SAST vs. DAST Tools Schwachstellen in der laufenden Anwendung Manuell: Pentest Autom: Dynamic App. Security Testing (DAST) Schwachstellen auf Codeebene Manuell: Security Code Review Autom: Static App. Security Testing (SAST) Session Mgmt / CSRF, Unsichere Einbindung, Logikfehler, Anti Automatisierung, Race Conditions Buffer Overflows Backdoors, Unsichere APIs, Anbindung Backend, XSS, SQL Injection, Datenval. allg. Authentifizierung, Zugriffsschutz, Kryptographie, Information Leakage, Fehlerbehandlung, Konfiguration, 24
25 SAST (Code Security Scanner) Tools meist kommerziell: u.a. HP Fortify ( ), Checkmarx ( ), Veracode ( ), IBM AppScan SE ( ) und mit teilweise sehr unterschiedlicher Eignung! Häufiges Problem ist die Tool Ownershaft => auch deshalb wichtig innerhalb der Entwicklung zu positionieren. Beispiel Integration in Eclipse (Fortify): 25
26 SAST Integration in Build Beispiel für Integration: Abbruch von Release Build bei neuen High Findings. Build Server (Jenkings, Hudson, Bamboo) Automatischer Scan Lokaler Scan Server / Cloud Service Review Entwickler QA / Security Dashboard Integration 26
27 DAST (Web Security Scanner) Das Ownership-Problem Kommerziell (u.a.) IBM AppScan ( ), HP WebInspect ( ), Accunetix ( ) Burp ( ) Kostenfrei (u.a.): skipfish, w3af, OWASP ZAP: Probleme: (1) Generell schwer zu automatisieren, (2) Einsatz erfordert Security Know How (in QS selten vorhanden) 27
28 IAST - Security Analyse auch ohne Security Experten Analyse der Anwendung durch Agenten auf Application Server Statt Sicherheitstests reichen hierfür in der Regel fachliche Tests oder reines Crawlen der Anwendung aus (=> kaum Security Know How erforderlich) Tools (u.a.): Seeker ( ) und Contrast ( ): 28
29 Weitere Tools Auch einfache Tests können jedoch sehr effektiv sein Security Test Cases (Reflected XSS), Priviligierungstests, Security Header Blacklisting von unsicheren APIs/Imports (Code Firewall) am SVS/Git Retire JS, OWASP Dependency Checker: Identifikation von unsicheren OpenSource Libs via Maven/Jenkins (kostenfrei) 29
30 Application Security Program (ASP)
31 Exemplarische Roadmap Phase 1: Voranalyse, Planung und einfache Maßnahmen (3 6 Monate) Ist Analyse: Identifikation des Sicherheitsniveaus / Reifegrads durch Pentests, Risikoanalysen, GAP Analyse gegen OpenSAMM / BSIMM Beheben bekannter Sicherheitsprobleme und Low Hanging Fruits (Awareness) Workshops Identifikation der Stakeholder, des Zielreifegrades & Erstellung der Initial Planung Gewinnen eines Sponsers und Budgetierung der nächsten Phasen Phase 2: Erste Stufe der Integration (9 12 Monate) Aufsetzen der SSGs Pilotierung und Einführung von Security Tools Umsetzung von Standards und Guidelines Pilotierung / Etablierung von SG1 + SG3 Aufbau eines Qualifikationsprogrammes / Durchführung von Schulungen / Coachings Phase 3: Zweite Stufe der Integration (12 18 Monate) Umbau der Organisation / Etablierung von Rollen / Zuständigkeiten Integration von Security Tools in Prozesse Aufbau von internem Security Testing Interne Zuständigkeiten und Gremien für Applikationssicherheit Anpassungen und laufende Überarbeitung 31
32 Zum Schluss, ein paar wichtige Gedanken Wenn Du ein Schiff bauen willst, dann trommle nicht Männer zusammen um Holz zu beschaffen, Aufgaben zu vergeben und die Arbeit einzuteilen, sondern lehre die Männer die Sehnsucht nach dem weiten, endlosen Meer. Antoine de Saint Exupery Ein Ding ist dann wichtig, wenn irgend jemand denkt, dass es wichtig ist. William James 32
33 Vielen Dank! Fragen? Folien: Matthias Rohr 0151 /
Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010
Der Application Security Verification Standard (ASVS) 10/2010 Matthias Rohr SEC Consult Deutschland Senior Security Consultant m.rohr@sec-consult.com Copyright The Foundation Permission is granted to copy,
MehrEinführung in das Scrum Framework & welche 10 Praktiken helfen, Scrum wirklich gut zu machen
Einführung in das Scrum Framework & welche 10 Praktiken helfen, Scrum wirklich gut zu machen Wer bin ich Kurse und Vorträge mit Jeff Sutherland und Ken Schwaber Verschiedene Kurse der Scrum.org Professional
MehrWir erledigen alles sofort. Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind.
Wir erledigen alles sofort Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind. agilecoach.de Marc Bless Agiler Coach agilecoach.de Frage Wer hat
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrTaking RM Agile. Erfahrungen aus dem Übergang von traditioneller Entwicklung zu Scrum
Taking RM Agile CLICK TO EDIT MASTER OPTION 1 Erfahrungen aus dem Übergang von traditioneller Entwicklung zu Scrum Click to edit Master subtitle style Christian Christophoridis Requirements Management
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrMeetings in SCRUM. Leitfaden. Stand: 10.11.2014
^^ Meetings in SCRUM Leitfaden Stand: 10.11.2014 Sitz der Gesellschaften: Cassini Consulting GmbH Bennigsen-Platz 1 40474 Düsseldorf Tel: 0211 / 65 85 4133 Fax: 0211 / 65 85 4134 Sitz der Gesellschaft:
MehrAgile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg
Herzlich willkommen Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg Heike Bickert Software-/Systemingenieurin, Bereich Quality Management Braunschweig // 17.11.2015 1 Agenda ICS AG Fragestellungen
MehrWarum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität
Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität Marcus Winteroll oose GmbH Agenda I. Ziele und Zusammenarbeit II. Was wir vom agilen Vorgehen lernen
MehrDr. Klaus Körmeier BlueBridge Technologies AG
Dr. Klaus Körmeier BlueBridge Technologies AG Agenda Was ist ein SharePoint Wiki Anwendungsbeispiele und Erweiterungen Was ist beim Einsatz zu beachten Zusammenfassung Partner Partner BlueBridge AG SharePoint-Erfahrung
MehrMicrosoft SharePoint 2013 Designer
Microsoft SharePoint 2013 Designer Was ist SharePoint? SharePoint Designer 2013 Vorteile SharePoint Designer Funktionen.Net 4.0 Workflow Infrastruktur Integration von Stages Visuelle Designer Copy & Paste
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrErfahrungsbericht Agile Entwicklung einer BI Anwendung für das Meldewesen
Erfahrungsbericht Agile Entwicklung einer BI Anwendung für das Meldewesen Thomas Löchte Geschäftsführer Informationsfabrik GmbH Wir produzieren INFORMATION. Konzeption und Architektur Implementierung [ETL,
MehrPraxisbericht und Demo-Projektabwicklung mit der ATLASSIAN Toolchain und Continuous Integration. Markus Stollenwerk, Noser Engineering AG
Praxisbericht und Demo-Projektabwicklung mit der ATLASSIAN Toolchain und Continuous Integration Markus Stollenwerk, Noser Engineering AG Agile Softwareentwicklung Crash-Kurs Markus Stollenwerk, 27.9.2013
MehrGelebtes Scrum. Weg vom Management hin zur Führung
Gelebtes Scrum Weg vom Management hin zur Führung Herausforderungen Was ist Scrum? Wer? Pigs Chicken Bild: http://www.implementingscrum.com/ Nein Danke, ich würde da voll drinstecken, aber du wärest
Mehrfirstbird wird gefördert von Microsoft Ventures firstbird is part of Microsoft Ventures Accelerator Berlin
firstbird is part of Microsoft Ventures Accelerator Berlin firstbird wird gefördert von Microsoft Ventures Was ist firstbird und welche Vorteile haben Mitarbeiterempfehlungen? WAS IST FIRSTBIRD? firstbird
MehrMOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!
MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B
MehrCeBIT 17.03.2015. CARMAO GmbH 2014 1
CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH
MehrAnforderungen an die HIS
Anforderungen an die HIS Zusammengefasst aus den auf IBM Software basierenden Identity Management Projekten in NRW Michael Uebel uebel@de.ibm.com Anforderung 1 IBM Software Group / Tivoli Ein Feld zum
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
Mehr16.4 Wiederverwendung von COTS-Produkten
16.4 Wiederverwendung von COTS-Produkten COTS = commercial of the shelf im Handel erhältliche Software-Produkte Anpassung für Kunden ohne Änderung am Quellcode Quellcode in der Regel nicht einsehbar (Ausnahme
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrInformation zur Revision der ISO 9001. Sehr geehrte Damen und Herren,
Sehr geehrte Damen und Herren, mit diesem Dokument möchten wir Sie über die anstehende Revision der ISO 9001 und die sich auf die Zertifizierung ergebenden Auswirkungen informieren. Die folgenden Informationen
MehrSSI WHITE PAPER Design einer mobilen App in wenigen Stunden
Moderne Apps für Smartphones und Tablets lassen sich ohne großen Aufwand innerhalb von wenigen Stunden designen Kunde Branche Zur Firma Produkte Übersicht LFoundry S.r.l Herrngasse 379-381 84028 Landshut
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrITIL und Entwicklungsmodelle: Die zwei Kulturen
Kombination von IT Service Management (ITIL) und Anwendungsentwicklung Kai Witte und Matthias Kaulke, München, den 30.03.2006 Rahmeninformationen Wo sind wir? Unternehmensdarstellung (1) Unabhängiges Beratungsunternehmen
MehrQualitätserlebnis statt Qualitätssicherung. Eine Mehrfachfallstudie agiler Teams
Qualitätserlebnis statt Qualitätssicherung. Eine Mehrfachfallstudie agiler Teams 12.06.2014, Abschlussvortrag Masterarbeit Holger Schmeisky Die Forschungsfrage Wie und unter welchen Bedingungen funktioniert
MehrModul 3: Service Transition Teil 4
Modul 3: Service Transition Teil 4 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung
MehrAgile Software Verteilung
Agile Software Verteilung Vortrag: René Steg Steg IT-Engineering, Zürich (Schweiz) Gründe für Agile Software-Verteilung Wenn Sie Hunderte von Servern mit vielen Anwendungen betreiben Verteilte Anwendungen
MehrDer frühe Tester fängt den Bug
Der frühe Tester fängt den Bug Kein Teststress am Entwicklungsende dank Webtest-First André Petry (Kühne + Nagel) SEACON 2013 16. / 17.05.2013 Agenda Vorstellung Persönlich Projekt Warum Testen oft schwierig
MehrMatthias Rohr 20. März 2014. Tool basierte Web Security
Matthias Rohr 20. März 2014 Tool basierte Web Security About Me Matthias Rohr CISSP, CSSLP, CISM, CCSK Application Security seit knapp 10 Jahren Autor sowie Berater und Geschäftsführer bei der Secodis
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrÜbersicht. Eclipse Foundation. Eclipse Plugins & Projects. Eclipse Ganymede Simultaneous Release. Web Tools Platform Projekt. WSDL Editor.
Eclipse WSDL-Editor Übersicht Eclipse Foundation Eclipse Plugins & Projects Eclipse Ganymede Simultaneous Release Web Tools Platform Projekt WSDL Editor Bug #237918 Eclipse Foundation Was ist Eclipse?
MehrDominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH
Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH Peter Cullen, Microsoft Corporation Sicherheit - Die Sicherheit der Computer und Netzwerke unserer Kunden hat Top-Priorität und wir haben
MehrDie Welt der SW-Qualität Ein Streifzug in 30 Minuten! Johannes Bergsmann Eigentümer
Die Welt der SW-Qualität Ein Streifzug in 30 Minuten! Johannes Bergsmann Eigentümer Inhalt Top Themen Requirements Testen Testautomatisierung Change-Management Risiko-Management Agile Methoden Traceability
MehrAGILE APPLICATION LIFECYCLE MANAGEMENT IM ATLASSIAN ECOSYSTEM
AGILE APPLICATION LIFECYCLE MANAGEMENT IM ATLASSIAN ECOSYSTEM 09.07.2015 NATALIE WENZ JAN GERTGENS Vorstellung Natalie Wenz Studium Medieninformatik an der Hochschule Reutlingen mit Abschluss als Master
MehrEinfache und effiziente Zusammenarbeit in der Cloud. EASY-PM Office Add-Ins Handbuch
Einfache und effiziente Zusammenarbeit in der Cloud EASY-PM Office Add-Ins Handbuch Inhaltsverzeichnis 1. Einführung... 3 2. Ribbonmenü... 4 3. Dokument... 5 3.1 Öffnen... 5 3.2 Speichern... 6 3.3 Speichern
MehrPraktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe
Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2
MehrScrum-Einführung bei der Projektron GmbH
Business Coordination Software Kosten sparen. Termine einhalten. Ziele erreichen. Scrum-Einführung bei der Projektron GmbH Matthias Fleschütz Projektron GmbH Jens Wilke headissue GmbH Projektron GmbH Softwarehersteller
MehrMusterpräsentation TOsecurity Audit
Musterpräsentation Die nachfolgenden Präsentationsfolien sind beispielhaft und dienen nur zur Veranschaulichung. Die tatsächliche Ausprägung in Art und Umfang orientiert sich am jeweiligen Fokus des Security
MehrAgile Softwareentwicklung mit Scrum
Agile Softwareentwicklung mit Scrum Einführung und Überblick zum agilen Softwareentwicklungsprozess Scrum März 2006 Robert Schmelzer, DI(FH) E-Mail: robert@schmelzer.cc Web: http://www.schmelzer.cc Einführung
MehrAgiles Requirements Engineering mit Scrum. Rainer Fetscher Neuss, 16. November 2010
Agiles Requirements Engineering mit Scrum Rainer Fetscher Neuss, 16. November 2010 1 Inhalt A. Vorstellung Creditreform B. Grundprinzipien in SCRUM C. IST-Stand D. Ausgangssituation E. Der Weg F. Fazit
MehrAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
C A R L V O N O S S I E T Z K Y Agile Vorgehensmodelle in der Softwareentwicklung: Scrum Johannes Diemke Vortrag im Rahmen der Projektgruppe Oldenburger Robot Soccer Team im Wintersemester 2009/2010 Was
MehrRisiken auf Prozessebene
Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse
MehrSabotage in Scrum. dem Prozess erfolglos ins Knie schiessen. Andreas Leidig (andrena objects ag) Vortrag bei den XP Days 2007
Sabotage in Scrum dem Prozess erfolglos ins Knie schiessen Andreas Leidig (andrena objects ag) Vortrag bei den XP Days 2007 1 Überblick Sabotage? Wer kann sabotieren? Was kann sabotiert werden? Wieviel
MehrDas Pflichtenheft. Dipl.- Ing. Dipl.-Informatiker Dieter Klapproth Ains A-Systemhaus GmbH Berlin
Fragestellungen: Warum reicht das Lastenheft nicht aus? Was kann ich mit dem Lastenheft machen? Was unterscheidet das Pflichtenheft vom Lastenheft? Was gehört zum Auftragsumfang einer Individualsoftware?
MehrWas ist bei der Entwicklung sicherer Apps zu beachten?
Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung
MehrChancen agiler Softwareentwicklung. Dipl.-Inform. Henning Wolf (henning.wolf@akquinet.de) Geschäftsführer der akquinet agile GmbH
Chancen agiler Softwareentwicklung Dipl.-Inform. Henning Wolf (henning.wolf@.de) Geschäftsführer der agile Inhalt Kurz zur AG Unser Hintergrund ( agile ) Worum geht es überhaupt? Die Chancen! Agiles Vorgehen
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
Mehr7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert
ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte
MehrScrum Gestaltungsoptionen Empowerment
Scrum Gestaltungsoptionen Empowerment WING Zweite Transferkonferenz, 2016-04-06 Matthias Grund, andrena objects ag 2 Scrum-Modell kommt mit (nur!) drei Rollen aus: (crossfunctional) Scrum Owner Owner Scrum
MehrIterativ. Inkrementell
Iterativ Inkrementell Build Release Test Qualität Architektur & Documentation Distributed Version Control Continuous Integration TDD Design Agile Architektur Dependency Feature Branches Mocks
MehrMöglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015
Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015 Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Vertrauliche Informationen dürfen von und zur
MehrInformationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:
Informationssystemanalyse Problemstellung 2 1 Problemstellung Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse: große Software-Systeme werden im Schnitt ein Jahr zu spät
MehrIT-Basics 2. DI Gerhard Fließ. Vorgehensmodelle
IT-Basics 2 DI Gerhard Fließ Vorgehensmodelle Sichtbarkeit Die Sichtbarkeit von Membervariablen und Methoden können durch die folgenden Schlüsselworte geregelt werden: private nur in der eigenen Klasse
MehrMSDE 2000 mit Service Pack 3a
MSDE 2000 mit Service Pack 3a Neues MSDE im WINLine-Setup: Seit der WINLine 8.2 Build 972 wird auf der WINLine-CD ein neues Setup der Microsoft MSDE mit ausgeliefert. Mit dieser neuen Version MSDE 2000
MehrTrotz Agilität nicht ins Abseits geraten Modellierung in einem agilen Umfeld. Susanne Mühlbauer, Philip Stolz, HOOD GmbH MID Insight 2012
Trotz Agilität nicht ins Abseits geraten Modellierung in einem agilen Umfeld Susanne Mühlbauer, Philip Stolz, HOOD GmbH MID Insight 2012 Agenda 1. Scope, Motivation und Begriffsklärung 2. Modellierung
MehrTFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master,
TFS Customzing in der Praxis Thomas Gugler ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com Thomas Gugler seit 2005 bei
MehrIT-Projekt-Management
IT-Projekt-Management Dr. The Anh Vuong email: vuongtheanh@netscape.net http: www.dr-vuong.de Seite 1 Konfigurations Management Seite 2 KM: Ziele Verwaltung der Dokumentationen Erzeugen und Pflege die
MehrNeue Funktionen in Innovator 11 R5
Neue Funktionen in Innovator 11 R5 Innovator for Enterprise Architects, Java Harvester und Prüfassistent 12.11.2013 Agenda 1 2 3 Einführung Was ist neu in Innovator 11 R5? Szenario Enterprise Architektur
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrStuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.
StuPro-Seminar Dokumentation in der Software-Wartung StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung Folie 1/xx Software-Wartung: theoretisch Ausgangslage eigentlich simpel: fertige
MehrPasolfora Database Appliance PDA
Pasolfora Database Appliance PDA pasolfora GmbH An der Leiten 37 D-91177 Thalmässing Web: www.pasolfora.com Steffan Agel Andreas Prusch steffan.agel@pasolfora.com andreas.prusch@pasolfora.com 26/01/2016
MehrÄnderungen ISO 27001: 2013
Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar
MehrDevOps in der Praxis. Alexander Pacnik 24.11.2015
DevOps in der Praxis Alexander Pacnik 24.11.2015 Einführung... DevOps Versuch einer Definition Alexander Pacnik IT Engineering & Operations Project Management inovex GmbH 2 Einführung... DevOps Versuch
MehrISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.
ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,
MehrComparing Software Factories and Software Product Lines
Comparing Software Factories and Software Product Lines Martin Kleine kleine.martin@gmx.de Betreuer: Andreas Wuebbeke Agenda Motivation Zentrale Konzepte Software Produktlinien Software Factories Vergleich
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrNetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011
NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter
MehrSummer Workshop Mehr Innovationskraft mit Change Management
Your Partner in Change. Your Partner in Innovation. Summer Workshop Mehr Innovationskraft mit Change Management Praxisbeispiel: Innovation im Tagesgeschäft etablieren www.integratedconsulting.at 1 Ausgangslage,
MehrOktober 2014 PRODUKTENTWICKLUNG. Dr. Ralf Lauterbach
PRODUKTENTWICKLUNG Dr. Ralf Lauterbach Produktentwicklung digitaler Produkte - was ist zu tun? - Generelle Aufgaben bei jeder digitalen Produktentwicklung Produktmanagement Marktanalysen Markteingangsstrategie
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrDer Weg zur eigenen App
Der Weg zur eigenen App Einsatzmöglichkeiten, Datenschutz und sichere Datenübertragung IT-Tag Saarland 2015 Mark Schweppe 1 Der Weg zur eigenen App - Agenda Agenda Der Wunsch: Eine eigene App Ein kleiner
MehrSoftwaren Engineering I
Softwaren Engineering I Gruppe: P07 Projekt: BetVM HowTo Zugriff und Aufsetzung des Systems Name Matrikelnummer Vedat Aydin 4232215 Marcel Scheid 4232229 Kurs Dozent TAI09AIM Dipl.-Wirt.-Ing. K. Koochaki
MehrErfolgreicher Ums9eg auf Git
CONCEPT PEOPLE IT- TALK Ein Erfahrungsbericht Erfolgreicher Ums9eg auf Git René Preißel (etosquare) Nils Hartmann (Techniker Krankenkasse) VORSTELLUNG René Preißel Freiberuflicher SoGwarearchitekt, Entwickler
MehrVEDA Managed Services VEDA-SOFTWARE
VEDA Managed Services VEDA-SOFTWARE VEDA Managed Services Aktualität und individualität Wir verbinden die Vorteile von Best Practices mit Flexibilität Sie erhalten eine IT-Lösung, die Ihre Ziele und Ansprüche
MehrChristian Kühnel, BMW Group AGILE ENTWICKLUNG VON FAHRERASSISTENZSOFTWARE. AGILE CARS 2014.
Christian Kühnel, BMW Group AGILE ENTWICKLUNG VON FAHRERASSISTENZSOFTWARE. AGILE CARS 2014. PROJEKT ÜBERBLICK Entwicklung von Fahrerassistenz-Software zur Vorverarbeitung und Fusion von Sensordaten aus
MehrEinfache und effiziente Zusammenarbeit in der Cloud. EASY-PM APPs und Add-Ins
Einfache und effiziente Zusammenarbeit in der Cloud EASY-PM APPs und Add-Ins 1 Microsoft Office Microsoft Office ist der Standard für Bürosoftware. Mit den EASY-PM APP's können Sie direkt aus Ihren Office-
MehrAgile Prozessverbesserung. Im Sprint zu besseren Prozessen
Agile Prozessverbesserung Im Sprint zu besseren Prozessen Ziel und Agenda Ziel: Wir wollen zeigen, wie Prozesse durch den Einsatz einer agilen Vorgehensweise noch projektfreundlicher verbessert werden
MehrVerpasst der Mittelstand den Zug?
Industrie 4.0: Verpasst der Mittelstand den Zug? SCHÜTTGUT Dortmund 2015 5.11.2015 Ergebnisse einer aktuellen Studie der Technischen Hochschule Mittelhessen 1 Industrie 4.0 im Mittelstand Ergebnisse einer
MehrWo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite http://www.hp.
Erfahrungen mit dem Insight Manager von HP Dipl. Ing. Elektrotechnik (FH) - Automatisierungs- / Regelungstechnik DV-Spezialist Landesbank Rheinland-Pfalz Abteilung 2-351 Große Bleiche 54-56 55098 Mainz
MehrWie haben die IT-Services Mehrwerte beim Kunden erzeugt? Ein Erfahrungsbericht Christian Roth, 19.06.12
m.a.x. it Wie haben die IT-Services Mehrwerte beim Kunden erzeugt? Ein Erfahrungsbericht Christian Roth, 19.06.12 Ihr IT-Partner seit 1989 IT-Dienstleistungen für den Mittelstand Gegründet 1989 Sitz in
MehrTrends in der Softwaredokumentation
Trends in der Softwaredokumentation Prof. Sissi Closs Montag,, 11. Oktober 2010 Community, Connectivity, Collaboration NextGen Softwaredoku Training 1. Software wird immer flexibler. 2. GUI Bedienung braucht
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrMO 27. Aug. 2007, 17:00 UHR JAVA FRAMEWORKS TIPPS VON PROFI-GÄRTNERN GEGEN WILDWUCHS
072 MO 27. Aug. 2007, 17:00 UHR JAVA FRAMEWORKS TIPPS VON PROFI-GÄRTNERN GEGEN WILDWUCHS Die Flut von Open Source Frameworks ist vergleichbar mit dem Markt von kommerziellen Produkten Es gibt eine Vielzahl
MehrHochschule Darmstadt Fachbereich Informatik
Hochschule Darmstadt Fachbereich Informatik Entwicklung webbasierter Anwendungen Praktikumsaufgaben 1 Semesterthema "Webbasierter Pizzaservice" Im Lauf des Semesters soll eine integrierte webbasierte Anwendung
MehrBusiness Application Framework für SharePoint Der Kern aller PSC-Lösungen
Business Application Framework für SharePoint Der Kern aller PSC-Lösungen Überblick pscbaf Dieses Dokument liefert die Antworten auf folgende Fragen: Was ist das Portal Systems Business Application Framework
MehrNachricht der Kundenbetreuung
Cisco WebEx: Service-Pack vom [[DATE]] für [[WEBEXURL]] Sehr geehrter Cisco WebEx-Kunde, Cisco WebEx sendet diese Mitteilung an wichtige Geschäftskontakte unter https://[[webexurl]]. Ab Samstag, 1. November
MehrWir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen
Was bedeutet es, ein Redaktionssystem einzuführen? Vorgehensmodell für die Einführung eines Redaktionssystems Die Bedeutung Fast alle Arbeitsabläufe in der Abteilung werden sich verändern Die inhaltliche
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrBETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT
FÜR INFORMATIONSSICHERHEIT FÜR INFORMATIONSSICHERHEIT Informationssicherheit bedingt höhere Anforderungen und mehr Verantwortung für Mitarbeiter und Management in Unternehmen und Organisationen. Awareness-Trainings
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrInhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. 7 Key Features.
Inhalt 1 Übersicht 2 Anwendungsbeispiele 3 Einsatzgebiete 4 Systemanforderungen 5 Lizenzierung 6 Installation 7 Key Features Seite 2 von 11 1. Übersicht MIK.mobile for ipad ist eine Business Intelligence
MehrRevit Modelle in der Cloud: Autodesk 360 Mobile
Revit Modelle in der Cloud: Autodesk 360 Mobile Die Präsentation Ihrer Revit Modelle kann auf unterschiedlichste Weise erfolgen. Diverse Cloud Plattformen bieten kostenlosen Speicherplatz und Freigabeoptionen
MehrRESTful Web. Representational State Transfer
RESTful Web Representational State Transfer 1 Warum REST? REST ist die Lingua Franca des Webs Heterogene (verschiedenartige) Systeme können mit REST kommunizieren, unabhängig von Technologie der beteiligten
Mehr