AGIL, ABER SICHER? SECURITY IM AGILEN ENTWICKLUNGSPROZESS , ANDREAS FALK, OOP 2016 MÜNCHEN

Größe: px

Ab Seite anzeigen:

Download "AGIL, ABER SICHER? SECURITY IM AGILEN ENTWICKLUNGSPROZESS 3.2.2016, ANDREAS FALK, OOP 2016 MÜNCHEN"

Dörte Voss
vor 7 Jahren
Abrufe

1 AGIL, ABER SICHER? SECURITY IM AGILEN ENTWICKLUNGSPROZESS , ANDREAS FALK, OOP 2016 MÜNCHEN

2 Über Mich Andreas Falk NovaTec Consulting GmbH 2

3 NovaTec Consulting GmbH Agile Quality Engineering Höchste Qualität für bewegliche Ziele Agilität und Requirements Engineering Agiles Requirements Engineering als Basis für das richtige Produkt! Agilität und Testing-Strategie Wie lassen sich Testaktivitäten effizient in Ihren agilen Prozess integrieren? Effiziente Testautomatisierung Wir setzen Testautomatisierung wartungsarm und nachhaltig um! Tools für die Testautomatisierung Welche Toolchain unterstützt Sie effizient? testit LivingDoc testit WebTester 3

4 Inhalte dieser Session Wichtigkeit von Security bewusst machen! Agilität und Security Wie geht das zusammen? Keine Hacker -Session! + Security? 4

5 AGILE SECURITY? UNSERE SOFTWARE IST DOCH SICHER!

6 Wirklich sicher? Hacks können Leben verändern! 6

7 Wirklich sicher? 7

8 Wirklich sicher? Verschlüsselung a la stackoverflow.com Verschiebechiffre: 8

9 Wirklich sicher? Nutzerverhalten! 9

10 SECURITY IST NICHT MEIN JOB!?

11 Wir haben doch eine Security -Firewall!? Böse Requests Gute Requests? App A App B App C App D The Great Firewall Potentiell unsichere Systeme 11

12 Wir setzen doch sichere Frameworks und Plattformen ein!? und viele andere 12

13 Dokumentation, Tests und Security fallen zuerst weg! Dokumentation Security / Tests Features! Features 13

14 Qualität als Maslow sche Pyramide Selbstverwirklichung Anerkennung Soziales Sicherheit Grundbedürfnisse Maslow sche Pyramide 14

15 OWASP Top 10 (2013) 15

16 Open Web Application Security Project Community für sichere Software Non-Profit! > 250 lokale Chapters Frei und Offen > 130 Projekte > 2500 Mitglieder 16

17 Neue Herausforderungen für Security NoSQL Big Data Storage Map/Reduce Computing Cloud Computing & Big Data Microservice Microservice Microservices Internet of Things (IoT) 17

18 Gibt es nicht schon sichere Entwicklungsprozesse? Microsoft SDLC Adobe 18

19 Next Stop: Sichere Agile Entwicklung 19

20 Sichere Agile Entwicklung Scrum Framework Elemente 20

21 Ausgangslage: Sicherheit == Agil? Sprint 1 Sprint 2 Sprint n Story A Story B Story C Story D Story E Story F Story G Story H Security Features Go Live Penetrationstest 21

22 Zeitplanung der Angreifer: 24h x 7d Angriffe Zeit Sprint Sprint Sprint Sprint Sprint Sprint Sprint Penetrationstest DevOps Penetrationstest 22

23 Auslieferbare Inkremente in Scrum Das Entwicklungsteam besteht aus Profis, die am Ende eines jeden Sprints ein fertiges Inkrement übergeben, welches potentiell auslieferbar ist. Potentiell unsicher ausliefern? 23

24 Security und Agilität Passt das zusammen? Agile Entwicklung Schnell und Flexibel Kurze Sprints Funktionierende Software statt umfassende Dokumentation Business Value Security (Pen-Testing) Kontinuierlich und Genau Separate Aktivitäten Gründliche Analysedokumentation, Reports Nicht-Funktional / Technisch 24

25 DevOps SecDevOps Product Backlog Sprint Continuous Delivery Auslieferbares Inkrement Betrieb / Support Security Security 25

26 DevOps SecDevOps Web- Anwendungs- Firewall Netzwerk- Firewall Netzwerk SSL Anwendungscode 3rd Party Bibliotheken Applikationsserver Java VM / Datenbank Betriebssystem Security Security 26

27 Sichere Agile Entwicklung mit Scrum Daily Scrum Sprint Security Product Backlog Sprint Planning Security Sprint Backlog Sprint Review & Retro Potentiell auslieferbares Inkrement 27

28 Security Modelle, Architekturen, Vorschriften und Richtlinien BSIMM MS SDL Cobit ASVS SAMM TOGAF PCI DSS SABSA ITIL BSI Grundschutz CLASP SAFECode BDSG Sichere Agile Entwicklung DevOps 28

29 OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Funktional und Nicht-Funktional Design, Entwicklung und Test Level 1: Opportunistisch Level 2: Standard Level 3: Fortgeschritten 29

30 Rollenspezifische Security Trainings Product Owner Sicherheits- und Datenschutz-Risiken Threat Modeling Spezifikation von Security Features AbUser Stories ( Evil Stories) Development Team Threat Modeling Secure Design und Coding Security Code Reviews Security Testing 30

31 Sichere Agile Entwicklung mit Scrum Entwickler Product Owner Scrum Master Security- Officer Test & QA 31

32 Secure DevOps = SecDevOps Product Owner Entwickler Scrum Master Test & QA Security- Officer Betrieb & Support 32

33 Sichere Agile Entwicklung mit Scrum Threat Modell pflegen Story A Story B Abuse Story Security Features Product Backlog AbUser Stories erstellen Security-Features mit hoher Prio Akzeptanzkriterien für Security Secure Definition of Ready 33

34 Threat Modeling ist auch Agil Produktiv Code erstellen 1 Festlegung Software- Architektur Security-Tests Grün! 6 User Stories, UML Diagramme Test Driven Development (TDD) Zuerst die Security Tests Security Testfälle und AbUser Stories Absicherung gegen Bedrohungen Threat Model Als Diskussions-Basis Identifikation und Vermeidung von Bedrohungen Elevation of privilege Spiel 34

DEMO THREAT MODELING https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.

35 DEMO THREAT MODELING STRIDE: Spoofing of user identity Tampering Repudiation Information disclosure (privacy breach or data leak) Denial of service (D.o.S) Elevation of privilege

36 AbUser Stories Business User Story AbUser Story 1 AbUser Story N Als Kunde möchte ich Produkte auswählen und zum Warenkorb hinzufügen um diese zu kaufen. Als Angreifer möchte ich Anfragen so manipulieren um Preise der Produkte im Warenkorb zu ändern. 36

37 Beispiel: AbUser und Security User Stories 37

38 Sichere Agile Entwicklung mit Scrum Detaillierung Threat Modell AbUser Story Tasks Sprint Planning Security-Feature Tasks Security Akzeptanzkriterien Security-Testfälle 38

39 Beispiel: Tasks für AbUser Stories 39

40 Sichere Agile Entwicklung mit Scrum Neue Security-Risiken diskutieren Daily Scrum Sprint Security Tasks ggf. neu planen Secure Design / Coding Pairing mit Security-Officer Security-Aware Definition of Done Security Regressions-Testing (CI) Security Code Reviews 40

41 Secure Design / Coding Security Patterns Clean Code Input Validierung Output Escaping Prepared SQL Statements Keine Fehlerdetails in UI Session Management Access Controls 41

42 Secure Design / Coding Input Validierung JPA mit Whitelist = 1, max = ( regexp = "^[A-Za-z0-9 ]*$", message = "Only alphanumeric and space characters are allowed" ) private String subject; 42

43 Secure Design / Coding Output Escaping (Encoding) <script>alert('xss')</script> Encoding <script>alert('xss')</script> 43

44 Secure Design / Coding Sichere Fehlermeldungen 44

45 Secure Design / Coding Standard Frameworks Standard Kryptographie Keyczar, Bouncy Castle, Jasypt Frameworks mit Validierung / Escaping JavaServer Faces Spring MVC + Thymeleaf Vaadin (GWT) Robuste Security Frameworks Java EE Security Spring Security Apache Shiro OWASP ESAPI 45

46 DEMO EINE SICHERE WEBANWENDUNG IN 5 MINUTEN

47 Agile Security Testing 47

48 Agile Security Testing Statische Code Analyse + 48

49 Agile Security Testing Code Review Code-Reviews (Github, Gitlab, Gerrit, ) 49

50 Crispin, Lisa; Gregory, Janet (2008). Agile Testing: Agile Security Testing Business Manual, Exploratory Testing Complexity / Cost Automated UI-Tests Security Service Layer Tests (API-Layer) Integrationstests Technology Unit & Component Tests Unit Tests Quantity Detail 50

51 Agile Security Testing public void verifyadminpathauthorizeok() throws Exception { this.mvc.perform( get( "/admin" ).with(user("admin").password("admin").roles("admin") ) ).andexpect ( status ().isok () ); public void verifyadminpathauthorizenok() throws Exception { this.mvc.perform ( get( "/admin") }.with(user("user").password("secure").roles("user") ) ).andexpect ( status ().isforbidden () ); 51

52 Stage 1: Statisches Security Testing Continuous Integration (CI) 3 Check-Out 4 Build & Tests & Static Code Analysis & Dependency Check 2 Trigger Build 5 Report Build Result 7 Push to Stable 1 Pull-Request Developer 2 6 (Security) Code- Review Developer 1 52

Dynamisches Security-Testing OWASP Zed Attack Proxy (ZAP) Open Source https://github.

53 Dynamisches Security-Testing OWASP Zed Attack Proxy (ZAP) Open Source Burp Suite Professional Kommerziell 53

54 DEMO SECURITY TESTING MIT OWASP ZED ATTACK PROXY PROXY

55 Stage 2: Dynamisches Security-Testing Acceptance Testing 3 Active Scanning 4 Reporting 1 Deploy 2 UI-Testing Proxy 55

56 DEMO AUTOMATISIERTE SECURITY TESTS

57 Sichere Agile Entwicklung mit Scrum Review Threat Model Abdeckung Sprint Review & Retro Review von Abuse User Stories Security Akzeptanzkriterien Transparenz der Security gegenüber Kunde Inspect And Adapt aller Security- Aktivitäten 57

58 Idealzustand: Security == Agile! Sprint 1 Sprint 2 Sprint n Story A Story B Abuse Story Security Features Story C Story D Story E Abuse Story Story F Story G Story H Pen- Test Go Live 58

59 SecDevOps Security + DevOps Kommunikation Zusammenarbeit Werkzeuge Continuous Delivery 59

SecDevOps Testing Infrastructure As Code http://serverspec.org /usr/bin/ruby -S rspec spec/www.example.jp/sample_spec.

60 SecDevOps Testing Infrastructure As Code /usr/bin/ruby -S rspec spec/ Package "httpd" should be installed Service "httpd" should be enabled should be running Port "8443" should be listening Finished in seconds (files took 6.37 seconds to load) 4 examples, 0 failures 60

61 SecDevOps Kostenlose SSL-Zertifikate HTTPS für alle Websites!! 61

62 SecDevOps Sichere TLS (SSL) Konfiguration 62

63 SecDevOps Sicherheit von HTTP Response-Headern 63

64 SecDevOps Kenne eingesetzte 3rd Party Bibliotheken 64

65 Fazit Ausbildung für Security Security transparent machen Security-Aktivitäten im gesamten Entwicklungsprozess 65

66 Ausblick Erste Security-Aktivität im Projekt starten Besuch einer Security-Konferenz 66

67 Damit das nicht mehr passiert! 67

68 FRAGEN? , ANDREAS FALK aqe.novatec-gmbh.de

Ähnliche Dokumente

Agil, aber sicher? Security im agilen Entwicklungsprozess. 15.3.2016 OWASP Stammtisch München

Agil, aber sicher? Security im agilen Entwicklungsprozess 15.3.2016 OWASP Stammtisch München Über mich Andreas Falk NovaTec Consulting GmbH andreas.falk@novatec-gmbh.de Mitglied der @andifalk @agile_security