The Quick Wins of DevSecOps en

I always like to be out in the forest, enjoy the quiet, and pursue my thoughts undisturbed. And recently, a question occurred to me that I get asked again and again at conferences, meetups or workshops:

The question is almost always:

What are the quick wins or low hanging fruits if you want to deal more with the topic of security in software development?

And I want to answer this question right now!

see one version on youtube: https://youtu.be/lNqADishl8w

Malicious Packages are a getting a big thing in Supply Chain Attacks - prepare en de

Supply Chain Security is a rising topic in software development. Attacks are getting more sophisticated, and malicious packages are one of the fundamental techniques used by hackers. But what does it mean for me as a developer? We will learn the difference between Vulnerabilities and Malicious packages, how they are structured, and what techniques are used.

I will cover Obfuscating Techniques, Security Payloads, and Examples from attacks of the latest history additionally.
This talk is created in cooperation with our Security Research Team at JFrog.
I will highlight Open Source Projects that are helping Developers to protect their own Software Supply Chain.

With this session, I'll convey the latest information about attacks called "malicious packages", which pose an ever more significant threat, especially in open-source projects. The knowledge of how these attack vectors work and the practical procedures for defending and combating them can be implemented directly in your projects.

Start hunting the bugs - Mutation Testing en

JUnit is a well-known tool for java developers in the area of TDD. Here it has become accepted, that CodeCoverage can be measured. In this case we distinguish between coverage on the level of classes, methods and rows. The goal is to get the CodeCoverage as high as possible on the row level, but not higher than necessary.
What exactly does it mean? A CodeCoverage of appr. 75% on the row level is very good and can already provide a basis. But what does this figure say?

In this talk we will deal with the term Mutation Testing and show the practical ways of use. How can the coverage be defined and what can be achieved?
How can it be integrated into an existing project and what should be considered while running a test? Can we use it for UI´s?

Hidden pearls for High-Performance-Persistence en

Small UseCases with a significant amount of data for internal company usage, most developers had this in their career, already. However, no Ops Team, no Kubernetes, no Cluster is available as part of the solution.
In this talk, I will show a few tech stacks that are helping to deal with persistent data without dealing with the classic horizontal scaling tech monsters like Kubernetes, Hadoop and many more.

Sit down, relax and enjoy the journey through a bunch of lightning-fast persistence alternatives for pure java devs.

Malicious Packages werden bei Supply-Chain-Angriffen immer wichtiger – bereiten Sie sich vor en de

Supply Chain Security ist ein aufstrebendes Thema in der Softwareentwicklung. Angriffe werden immer ausgefeilter, und bösartige Pakete sind eine der grundlegenden Techniken, die von Hackern verwendet werden. Aber was bedeutet das für mich als Entwickler? Wir werden den Unterschied zwischen Vulnerabilities und Malicious Packages kennenlernen, wie sie strukturiert sind und welche Techniken verwendet werden.

Ich werde zusätzlich Verschleierungstechniken, Sicherheitsnutzlasten und Beispiele von Angriffen der jüngsten Vergangenheit behandeln.
Ich werde Open-Source-Projekte hervorheben, die bei der Entwicklung helfen, die eigene Software-Supply-Chain zu schützen.

Mit dieser Session vermittle ich Informationen über Angriffe namens „Malicious Packages“, die insbesondere in Open-Source-Projekten eine immer größere Bedrohung darstellen. Das Wissen um die Funktionsweise dieser Angriffsvektoren und die praktischen Vorgehensweisen zu deren Abwehr und Bekämpfung können direkt in den Projekten umgesetzt werden.

How to rate the impact of Vulnerabilities on your project? en

The topic of security, particularly cyber security, is becoming an integral part of the daily work of a software developer. This is accompanied by new requirements that impact our daily work processes. One of these components is the handling of the CVSS values. Unfortunately, just understanding and traceability this information is not always so easy. But how are you supposed to evaluate which of these vulnerabilities is critical for your environment and project?

I will handle the following topics
- Basics of Iac Security, Services Exposure, Secrets Detection
- Contextual Analysis
- Operational Risks
- Vulnerabilities
- Malicious packages
- Software Packages Curation
- Obfuscation Techniques
- Infection Methods
-...

Strengthening Java Applications: Best Practices in Secure Coding for Java Developers en

In today's interconnected digital landscape, secure coding stands as a cornerstone for safeguarding Java applications against a myriad of cyber threats. This presentation delves into the realm of secure coding practices explicitly tailored for Java developers, addressing the evolving challenges and complexities inherent in modern software development. This session aims to provide actionable insights and advanced techniques to fortify Java applications against vulnerabilities, exploits, and breaches.

The presentation begins by elucidating the fundamental principles of secure coding, emphasizing the importance of robust design, secure configuration, and meticulous code review processes.

Furthermore, this session highlights common pitfalls and vulnerabilities prevalent in Java applications, offering practical guidance on implementing secure coding patterns and defensive programming techniques to bolster resilience against common attack vectors.

Drawing upon real-world case studies and industry best practices, attendees will gain invaluable insights into the nuances of secure coding in Java, equipping them with the knowledge and skills to build robust, resilient, and secure applications in today's dynamic threat landscape. Whether you're a seasoned Java developer or a newcomer to secure coding practices, this session promises to deliver actionable strategies and expert guidance to elevate your security posture and safeguard your Java applications against emerging cyber threats.

Navigating the Labyrinth: A Journey through Secure Coding Practices and Obfuscating Techniques in Ja en de

Security is paramount in software development. The prevalence of cyber threats underscores the importance of robust, secure coding practices. This talk delves into the fundamental principles of secure coding practices explicitly tailored for the Java programming language. We examine common vulnerabilities and highlight their potential risks and consequences. We elucidate best practices for mitigating these vulnerabilities through illustrative examples.

However, securing code is only one side of the coin; safeguarding intellectual property and sensitive algorithms is equally critical. This leads us to explore obfuscating techniques to obscure code logic and thwart reverse engineering attempts. We discuss the various obfuscation strategies available in the Java ecosystem, ranging from simple techniques like renaming identifiers to more sophisticated methods such as control flow obfuscation and bytecode manipulation.

Furthermore, we address the trade-offs associated with obfuscation, including potential performance overhead and maintainability concerns. By balancing security and usability, developers can fortify their applications against malicious actors while ensuring code readability and maintainability.

Ultimately, this talk aims to equip developers with a comprehensive understanding of secure coding practices and obfuscating techniques in Java, empowering them to build resilient and safeguarded software systems in an increasingly perilous digital landscape.

Navigating the Labyrinth: Eine Reise durch sichere Codierungspraktiken und Verschleierungstechniken en de

Sicherheit steht bei der Softwareentwicklung an erster Stelle. Die Verbreitung von Cyber-Bedrohungen unterstreicht die Bedeutung robuster, sicherer Codierungspraktiken. Dieser Vortrag befasst sich mit den Grundprinzipien sicherer Codierungspraktiken, die explizit auf die Programmiersprache Java zugeschnitten sind. Wir untersuchen häufige Schwachstellen und zeigen deren potenzielle Risiken und Folgen auf. Wir erläutern Best Practices zur Minderung dieser Schwachstellen anhand anschaulicher Beispiele.

Allerdings ist die Sicherung des Codes nur eine Seite der Medaille; Ebenso wichtig ist der Schutz des geistigen Eigentums und sensibler Algorithmen. Dies führt uns dazu, Verschleierungstechniken zu erforschen, um die Codelogik zu verschleiern und Reverse-Engineering-Versuche zu vereiteln. Wir besprechen die verschiedenen im Java-Ökosystem verfügbaren Verschleierungsstrategien, die von einfachen Techniken wie dem Umbenennen von Bezeichnern bis hin zu anspruchsvolleren Methoden wie der Verschleierung von Kontrollflüssen und der Manipulation von Bytecodes reichen.

Darüber hinaus befassen wir uns mit den mit der Verschleierung verbundenen Kompromissen, einschließlich möglicher Leistungseinbußen und Bedenken hinsichtlich der Wartbarkeit. Durch die Abwägung von Sicherheit und Benutzerfreundlichkeit können Entwickler ihre Anwendungen gegen böswillige Akteure schützen und gleichzeitig die Lesbarkeit und Wartbarkeit des Codes gewährleisten.

Letztendlich zielt dieser Vortrag darauf ab, Entwicklern ein umfassendes Verständnis für sichere Codierungspraktiken und Verschleierungstechniken in Java zu vermitteln und sie in die Lage zu versetzen, belastbare und geschützte Softwaresysteme in einer zunehmend gefährlichen digitalen Landschaft aufzubauen.

How the SRE fit´s into the DevSecOps World? en

DevOps and SRE seem to be two approaches to the same obstacle.

Both approaches aim to close the gap between development and operations teams, with the unified goal of optimizing the production and operation cycle without compromising its efficiency and effectiveness.

Both titles coexist in the same room and are an integral part of the development team.

How do they differ, and what does each one mean? And how can the topic of security be established in such a constellation?

The SolarWinds Hack and the Executive Order on Cybersecurity happened - It is time to prepare en de

Again and again, I am asked how one can start with the topic of security in an agile project environment. What are the essential first steps, and what should you focus on at the beginning? Of course, this raises the question of suitable methodologies and tools. At the same time, the strategic orientation of the company must be included in this security strategy. We have also learned in the recent past that attacks like the “Solarwinds Hack” are becoming more and more sophisticated and that the attackers now focus on the entire value chain. What tools are there, and where should they be used? How can I start tomorrow to prepare myself for the future against the challenges of cyber attacks? And that’s exactly what you will get an answer to here.

SolarWinds Hack und Executive Order on Cybersecurity - Es ist Zeit sich vorzubereiten! en de

Immer wieder bekomme ich die Frage gestellt wie man mit dem Thema Sicherheit in einer agilen Projektumgebung beginnen kann. Was sind die essentiellen ersten Schritte und worauf sollte man sich zu Beginn konzentrieren? Hierbei stellt sich die Frage nach den richtigen Methodiken, Werkzeugen und gleichzeitig auch die Ausrichtung des Unternehmens um sich für die Zukunft zu rüsten. Ebenfalls haben wir in der kürzeren Vergangenheit lernen müssen, das die Angriffe wie der “Solarwinds Hack” immer ausgefeilter werden und mittlerweile die gesamte Wertschöpfungskette im Fokus der Angreifer liegt. Welche Werkzeuge gibt es und wo sollten diese eingesetzt werden? Wie kann ich gleich morgen beginnen um mich zukunfstorientiert gegen die Herausforderungen der Cyberangriffe zu wappnen? Und genau darauf wirst Du hier eine Antwort bekommen.

High-Performance-Persistence OO Mappings for Microstream en de

Many know the challenges of data models from university or everyday professional life as developers. Suppose you have decided on a relational persistence layer. In that case, you will also have to deal with the mapping of, for example, an object-oriented data model to a relational data model. There is a lot of documentation to learn from. But with Microstream, you now have a persistence layer that allows you to save Java object graphs directly. There are now other challenges when it comes to performance.

In this article, I will describe how to model and adapt an object model for high-performance use with the help of Micorstream.

High-Performance-Persistence OO Mappings für Microstreamm en de

Viele kennen aus der Uni oder aus dem beruflichen Alltag als Entwickler die Herausforderungen der Datenmodelle. Wenn man sich für einen relationalen Persistencelayer entschieden hat wird man sich auch mit dem Mapping von zum Beispiel objektorientiertem Datenmodell auf relationales Datenmodell beschäftigen müssen. Da gibt es viel Dokumentation aus der man lernen kann. Aber mit Microstream hat man nun einen Persistencelayer der es einem ermöglicht Java-Objektgraphen direkt zu speichern. Hier ergeben sich nun andere Herausforderungen wenn es um das Thema Performance geht.

In diesem Beitrag werde ich die Vorgehensweisen beschreiben wie man ein Objektmodell für den performanten Einsatz mithelfe von Micrstream modellieren und anpassen kann.

OS Project - Pyrsia - How to protect the Open Source Supply Chain. en

Again and again, we see attacks on open source projects intending to cause large-scale infections. Here, the attackers are increasingly targeting the infrastructure parts of the production chains. Source texts are manipulated, CI routes are compromised, repositories and their contents are modified. The attacks are becoming more and more sophisticated and now also extend across different components.

How are you supposed to protect yourself? What can you do for your own project? What tools are there at your disposal?

We will look at the different points of attack and process models and, based on this, illuminate the approach of the open-source project pyrsia. 

Supply Chain Security for OpenSource Projects - it's time to prepare! en de

Attacks on the open-source value chain (OS supply chain) are becoming more sophisticated, and we, as software developers, are becoming the focus of these attacks. So what are the essential first steps, and what should you focus on in the beginning? This, of course, raises the question of suitable methods and tools. At the same time, the company's strategic orientation must be included in this security strategy.

In the recent past, we have also learned that attacks such as the "Solarwinds Hack" are increasingly targeting individual infrastructure elements of software development, such as the classic CI/CD pipeline.

We deal with the following questions:
First, what potential threats are there in general?
Second, what are classic attack points in software development from the source code to binary?
Third, what free tools are there, and where should they be used?
Finally, how can I arm myself against the challenges of cyber attacks today?

Supply Chain Security for OpenSource Projects - es ist Zeit sich vorzubereiten! en de

Angriffe auf die Open-Source-Wertschöpfungskette (OS-Lieferkette) werden immer raffinierter, und wir als Softwareentwickler geraten in den Fokus dieser Angriffe. Was sind also die wesentlichen ersten Schritte und worauf sollten wir uns am Anfang konzentrieren? Dies wirft natürlich die Frage nach geeigneten Methoden und Werkzeugen auf. Gleichzeitig muss die strategische Ausrichtung des Unternehmens in diese Sicherheitsstrategie einbezogen werden.

In der jüngeren Vergangenheit haben wir zudem erfahren, dass Angriffe wie der „Solarwinds Hack“ zunehmend auf einzelne Infrastrukturelemente der Softwareentwicklung abzielen, etwa die klassische CI/CD-Pipeline.

Wir beschäftigen uns mit folgenden Fragen:
Erstens, welche potenziellen Bedrohungen gibt es im Allgemeinen?
Zweitens, was sind klassische Angriffspunkte in der Softwareentwicklung vom Quellcode bis zum Binary?
Drittens, welche freien Tools gibt es und wo sollten sie eingesetzt werden?
Und schließlich: Wie kann ich mich jetzt gegen die Herausforderungen von Cyberangriffen wappnen?

Open Source Project SLSA - Fighting against Supply Chain Attacks en de

The topic of supply chain security is becoming increasingly important in software development. In recent years, the attacks have become very sophisticated, partly fragmented, and highly specialized. Therefore, it is not always easy to identify such attacks, let alone recognize an attack that has just been carried out. The SLSA project from the Linux Foundation, in collaboration with several well-known companies and organizations, has taken up the cause of developing industry-standard specifications to protect against this potential threat.

In addition to educating and making this knowledge available to as many people as possible, this project notes its own limitations and what consequences that entails for typical software development operations.

Leave with a better understanding of supply chain attacks and how you might use SLSA levels to harden your security one step at a time.

Open Source Projekt SLSA - Fighting against Supply Chain Attacks en de

Das Thema Supply Chain Security wird in der Softwareentwicklung immer wichtiger. Die Angriffe sind in den letzten Jahren sehr raffiniert, teilweise fragmentiert und hoch spezialisiert geworden. Daher ist es nicht immer einfach, solche Angriffe zu identifizieren, geschweige denn einen gerade durchgeführten Angriff zu erkennen. Das SLSA-Projekt der Linux Foundation hat es sich zur Aufgabe gemacht, diese potenzielle Bedrohung zu strukturieren und das Wissen darüber möglichst vielen Menschen zugänglich zu machen.
Wo das Projekt seine Grenzen sieht und welche Konsequenzen dies für den regulären Softwareentwicklungsbetrieb bedeutet, wird hier betrachtet.

CVSS metrics - explained en de

In software development and operation, we are confronted with the CVSS values more and more often.
These values are an estimate of the severity of a vulnerability. This consists of different components and is then related to each other to provide a one-dimensional evaluation of a number between zero and ten. But what are the components of these numbers? How are these structured, and what possibilities are there to transpose this evaluation to one's own needs?

 CVSS-Metriken erklärt en de

In der Softwareentwicklung und im Betrieb werden wir immer häufiger mit den CVSS-Werten konfrontiert.
Diese Werte sind eine Schätzung des Schweregrads einer Schwachstelle. Dieses besteht aus verschiedenen Komponenten und wird dann zu einer eindimensionalen Bewertung in Form einer Zahl zwischen null und zehn zueinander ins Verhältnis gesetzt. Aber was sind die Bestandteile dieser Zahlen? Wie sind diese strukturiert und welche Möglichkeiten gibt es, diese Evaluation auf die eigenen Bedürfnisse zu übertragen?