Sicherheitslücken aufdecken mittels Code Review Dr. Bruce Sams

Die Fakultät für Informatik und Mathematik lädt ein
im Rahmen der Vortragsreihe
„Datenschutz und IT-Sicherheit“:
Sicherheitslücken aufdecken
mittels Code Review
Dr. Bruce Sams
OPTIMA Business Information Technology GmbH
Mittwoch, 18.05.11 um 17:00 Uhr in R 3.017
Inhalt:
Abstract: Circa 80% aller Schwachstellen sind das Ergebnis einer schlechten
Programmierpraxis und von undurchdachten Sicherheitskonzepten bei der SoftwareEntwicklung. In einem typischen Software Development Lifecycle erstellen
Entwickler Zehntausende von Codezeilen unter enormen Zeitdruck. Das Ergebnis ist,
dass die Mehrheit von Anwendungen viele Sicherheitsschwachstellen aufweist.
Viele dieser Schwachstellen, aber nicht alle, können mittels Code Review entdeckt
und korrigiert werden. Dieser Vortrag präsentiert Code Review aus der
Sicherheitsperspektive und erläutert, wie ein Review durchgeführt und bewertet wird.
Zentrale Themen sind die Vor- und Nachteile der dynamischen und statischen
Codeanalyse, False Positive/False Negative, Datenflussanalyse und
Mustererkennung. Auch die praktische Umsetzung mit modernen Werkzeugen wird
besprochen. Der Vortrag wird mit Beispielen von Cross-Site-Scripting, SQLInjection, Path Traversal und mehr untermauert.
Zielgruppe:
Informatik-Studenten, Entwickler, Architekten, Projektmanager, Sicherheitsexperten
mit gutem Verständnis von Web-Anwendungen
Referent:
Dr. Bruce Sams ist Geschäftsführer von OPTIMA Business
Information Technology GmbH. Er ist Autor vieler Fachartikel über
Sicherheit und ein bekannter Sprecher auf nationaler und
internationaler Ebene. Er erlangte seinen Doktortitel in Astrophysik an
der Harvard Universität in Boston und zog 1991 nach München, wo er
zuerst beim Max Planck Institut als Forscher tätig war. Seit 1998 ist er
im Bereich Sicherheit aktiv und war Mitbegründer der OWASP in Deutschland.
K. Köhler