Die Testpyramide von Mike Cohn dürfte den meisten Entwicklern ein Begriff sein. Aber beinhalten die Tests in Ihrem Projekt auch die Verifikation der Anwendungssicherheit? Im Kontext von agiler Entwicklung und Continuous Delivery ist ein 'Shift-Left' mit konkreten Security-Anforderungen und einer kontinuierliche Prüfung der Sicherheit essentiell. In diesem Talk werden wir die bekannte Testpyramide einmal aus der Sicherheitsperspektive betrachten. Wir werden lernen wie man effektive Sicherheitstests auf jeder Ebene der Pyramide hinzufügt. Dies wird durch entsprechende Live-Demos begleitet.

Zielpublikum: Architekten, Entwickler, Tester
Voraussetzungen: Grundlegende Java-Kenntnisse
Schwierigkeitsgrad: Advanced

Extended Abstract:
Die Testpyramide von Mike Cohn dürfte den meisten Entwicklern ein Begriff sein und wird innerhalb der testgetriebenen Entwicklung vielfach in Projekten eingesetzt.
Aber beinhaltet die Testpyramide auch die Verifikation der Anwendungssicherheit?

Im Kontext von agiler Entwicklung und Continuous Delivery ist eine kontinuierliche Prüfung der Anwendungssicherheit essentiell. Das heute häufig immer noch praktizierte Muster mit Penetrationstests kurz vor dem Produktivgang skaliert hier nicht mehr. 

Vielmehr müssen in jedem Sprint konkrete Anforderungen an die Sicherheit formuliert werden, welche dann mit entsprechenden (möglichst automatisierten) Tests verifiziert werden können. Nur so läßt sich ein wirkunsvolles Shift-Left für die Sicherheit erreichen.

In diesem Talk werden wir die bekannte Testpyramide einmal aus der Sicherheitsperspektive betrachten. Wir werden uns anschauen wie man effektive Sicherheitstests auf jeder Ebene der Pyramide hinzufügt. Auf diese Weise läßt sich tatsächlich ein großer Teil der OWASP Top 10 Sicherheitskategorien automatisch abtesten. 

Dies wird anhand von Live-Demos auf Basis einer Spring Boot Java Applikation mit automatisierten Tests u.a. für Authentifizierung, Autorisierung, Eingabevalidierung und SQL-Injection-Prevention praktisch veranschaulicht.