Programm 4. November 2020

von bis   WORKSHOP 1 WORKSHOP 2
9:00 17:00 8:00 DevSecOps - Dynamic security analysis of
PHP applications within the Pipeline
Christian Biehler, bi-sec
PHPStan Captain Hook - Mit statischer Code-
Analyse professionell und schnell arbeiten
Rolland Golla, Never Code Alone

Vorläufige Planung. Stand 10. Juli 2020. Änderungen jederzeit vorbehalten.

Christian Biehler
bi-sec

DevSecOps – Dynamic security analysis of PHP applications within the Pipeline

This full day workshop represents a focussed version of our training about IT security tools for web analysis in the DevOps-pipeline with a strong focus on PHP-based applications. Within this workshop, the participants will learn:

  • What belongs to a CI/CD pipeline from a security perspective
  • How do different companies solve this challenge? – How to secure a CI environment based on Jenkins
  • How to secure a typical PHP application (preventing for example SQLi & XSS)
  • How to securely configure Apache + PHP
  • How to integrate dynamic security tools into the CI / CD pipeline, including OWASP Zap, SSLyze and OpenVAS – How to deal with the results including false positives and false negatives
  • How to achieve configuration compliance using tools within the pipeline Each chapter of the workshop will consist of an introduction, a discussion and a demo based on our demo environment using Amazon AWS and Microsoft Azure.

During the different demos and presentation parts we will refer to our public git repo, which includes for example useful sniplets to harden typical AWS-Linux+Apache+PHP machines (https://github.com/bi-sec-pub/hardening/tree/master/apache-php-aws) or to integrate security tools into the CI/CD pipeline with minimal effort (https://github.com/bi-sec-pub/devsecops).

Christian Biehler was born in 1986, he is married and proud father of a little girl. After school, he studied Information Management in Koblenz and later on IT-Security at the University of Bochum. Since then Christian worked as a consultant in the area of IT- and information security with customers from different industries and different sizes. In 2019 he incorporated the bi-sec GmbH, a company highly specialized in the area of IT security. Even as chief executive, he follows his passion for technical security topics and conduct penetration tests and security trainings. With a strong focus on DevSecOps and web security, Christian loves to give talks and trainings about security in the DevOps-Pipeline and other topics.

Roland Golla
Never Code Alone

PHPStan Captain Hook Workshop – Mit statischer Code-Analyse professionell und schnell arbeiten

Wie wäre es, wenn man Bugs gar nicht erst schreiben könnte. Moderne IDEs zeigen uns ja schon während der Arbeit an, wenn sich Probleme ergeben. Das ist statische Code-Analyse und eine tolle Sache. Hier gibt es einen großen Markt von Open Source bis hin zu kommerziellen Produkten. Diese Tools finden weit mehr als einfache Syntax-Fehler und erhöhen kontinuierlich die Softwarequalität als zuverlässige Quality Gates in unseren Pipelines.

Aber eine Pipeline muss erst einiges an Zeit investieren bis die Analyse durchgeführt wird. Wenn dann Bugs gefunden werden ist das nervig, aber vor allem auch persönlich echt peinlich. Genau an diesem Punkt kommen Git Hooks ins Spiel. Damit ist man in der Lage in einem Pre-Commit die Analyse-Tools durchlaufen zu lassen, bevor man überhaupt den Commit ausführen kann. Das ist einfach genial, spart viel Zeit, macht Spaß und steigert kontinuierlich die eigene Codequalität.

Für wen ist der Workshop? – In dem Workshop werden Tools zur statischen Code Analyse vorgestellt. Hier schauen wir uns PHPStan, einen Code-Standard mit Sniffer und einen XML Linter an. Mit den Tools werden wir schnell sehen, wie gut sie unseren Code und unsere Arbeit verbessern. Danach binden wir diese mit Captain Hook als Pre Commit Hooks ein. Jetzt können und müssen wir direkt Code Refactoring durchführen, Legacy Code abbauen und in Zukunft viel besser arbeiten. Neben dem praktischen Teil sprechen wir viel über Codequalität und die Möglichkeiten mit statischer Codeanalyse bessere Arbeitsergebnisse zu erzielen. PHP ist hier einfach nur eine Programmiersprache. Git Hooks lassen sich natürlich auch auf andere Technologien im Frontend und Backend, wie Java oder Javascript, übertragen. Es lohnt sich also auf jeden Fall.

Als PHP-Trainer und Entwickler hat sich Roland Golla auf Softwarequalität spezialisiert und möchte die Arbeitsbedingungen in der IT nachhaltig machen und verbessern. Er fordert Arbeitsschutz in der IT und macht seit einigen Jahren auf den Zusammenhang von gesundheitlichen Schäden und Legacy Code aufmerksam. Er hält auf zahlreichen Konferenzen unterhaltsame Vorträge zu wichtigen Themen rund um nachhaltige Softwareentwicklung und Softwarequalität.