Dieses Training richtet sich an das gesamte DevSecOps-Team – egal ob Entwickler, Security Auditor oder Projektleiter. In diesem Workshop werden die Grundlagen der Applikationssicherheit vermittelt; sei es während der Entwicklung mithilfe von statischer Code-Analyse mit dem Fortify Static Code Analyzer oder während der Qualitätssicherung durch automatisierte Penetrationstests mit Fortify WebInspect.

Zur Einführung in das Thema Applikationssicherheit werden Ihnen die Grundlagen mithilfe von OWASP Top 10 vermittelt. Die Teilnehmer entwickeln ein Bewusstsein für Applikationssicherheit und schauen dabei „über den Tellerrand“ hinaus. Dazu nehmen sie die Perspektive eines Angreifenden ein und setzen sich mit typischen Angriffsszenarien wie zum Beispiel SQL-Injection oder Cross-Site Scripting auseinander.

Überblick

• Architektur und die wichtigsten Funktionen von Fortify
• Möglichkeiten zur Einbindung von Fortify in einen bestehenden SDLC
• Erstes Look & Feel der einzelnen Funktionen (statische und dynamische Analyse)
• Vorstellung entsprechender Use Cases (Warum und wie soll ich meine Applikationen auf Sicherheitsschwachstellen testen?)

Grundlagen

• Verbesserung der Sicherheit Ihrer Anwendungen mit Fortify Static Code Analyzer und Fortify WebInspect
• Grundlagen in der Handhabung der einzelnen Tools
• Best Practices sowie Tipps und Tricks im Umgang mit den Werkzeugen

Integrationen

• Integration von Fortify in die Build-Management-Tools Apache Maven, Gradle oder Ant
• Anbindung an eine Continuous Integration-Software wie Jenkins 

Statische Analyse

• Scannen verschiedener Sprachen (Java, C/C++, .NET, etc.)
• Verwendung verschiedener Utilities (Kommandozeile, Audit Workbench, IDE-Plugins)

Dynamische Analyse

• Scannen von Webseiten und Webanwendungen
• Scannen von REST- und SOAP-Schnittstellen
• Erstellung von Skripten zur Automatisierung

Ergebnisse auditieren

• Erkennen und Filtern von False-Positives
• Erstellen eines Reports
• Tiefgreifende Analyse der Issues