Agile yes but secure at OOP 2016 conference in Munich

Agile yes but secure at OOP 2016 conference in Munich

Kommende Woche werde ich auf der OOP 2016 in München in meinem Vortrag darüber referieren, wie Security in den agilen Entwicklungsprozess integriert werden kann. Meine Session Mi 3.1 beginnt am 3.2.2016 um 09:00.

Next wednesday I will speak at OOP 2016 conference in Munich about how to integrate security in the agile development process.
If you are participating the conference please join my session Mi 3.1 on 3.2.2016 starting at 09:00 AM.

Using terminal with git auto completion in IntelliJ

Here is a small tip – a bit off-topic from security – on using terminal with git auto completion in IntelliJ

When using IntelliJ on windows platforms there is no usable auto completion active in the integrated terminal. This is because ‚cmd.exe‘ is configured as default shell in settings of IntelliJ.
To use auto completion especially for developers using git as versioning system it is better to configure the default shell ’sh.exe‘ of the windows installation for git.

Using terminal with git auto completion in IntelliJ

This can be done in IntelliJ settings under ‚Tools’/’Terminal‘:
Here ‚cmd.exe‘ has to be replaced by ‚C:\Program Files (x86)\Git\bin\sh.exe –login -i‘ (path is dependent on your installation location for git). Now you have auto completion for git commands in place directly in your IDE!

Attending AppSecEU 2015 in Amsterdam

On May 21st and 22nd 2015 I am also attending the OWASP AppSecEU 2015 in Amsterdam – one of the most important conferences for security.
The current conference schedule is online.

AppSecEU 2015

Sessions I am planning to attend are:

Kritische Sicherheitslücke in WordPress

Eine akute Sicherheitslücke gefährdet aktuelle WordPress-Installationen (betroffene Versionen sind 4.2, 4.1.2, 4.1.1, 3.9.3).
Über die Kommentarfunktion können Angreifer Schadcode einbringen, der beim Anzeigen der Kommentare durch einen Admin dessen Konto und dadurch die komplette WordPress Site übernehmen kann. Dabei muss der Kommentar eine Länge von 64K überschreiten, damit er in abgekürzter Form ausgegeben wird und der Schadcode wirksam werden kann.

WordPress.org hat mit Version 4.2.1 inzwischen ein Sicherheitsupdate veröffentlicht, welches normalerweise zeitnah automatisch installiert wird bzw. schnellstmöglich manuell installiert werden sollte.

Spring Security 4.0

Heute wurde Spring Security 4.0 final veröffentlicht.

Wesentliche Neuerungen von Spring Security 4.0 sind:

  • Websocket Support
  • Spring Data Integration
  • Testunterstützung

Vor allem die nun vorhandene Testunterstützung bringt erhebliche Vorteile. Es ist nun möglich durch neue Annotationen Benutzerkontexte oder gesamte Securitykontexte in den Tests zu konfigurieren und auch die Security selbst zu testen.

Im Spring Data Bereich können nun Queries durch den aktuellen User erweitert werden. Daneben wurde insgesamt die Sicherheit im Security-Framework selbst auch verbessert.

Weitere Informationen zum Release sind auf dem Spring Blog zu finden.

Spring Cloud 1.0 mit deklarativem SSO

Release 1.0 von Spring Cloud ist inzwischen erschienen.  Spring Cloud ist ein relativ neues Unterprojekt des Spring Frameworks, welches Werkzeuge für die Entwicklung cloudfähiger Anwendungen zur Verfügung stellt.
Hinsichtlich der Sicherheit stellt dieses Projekt nun auch eine einfache deklarative Möglichkeit zur Verfügung um Single-Sign-On in der Cloud auf Basis von OAuth 2 umzusetzen.

Weitere Informationen dazu finden sich auf dem Spring Blog.

Willkommen auf dem Agile Security Blog

cropped-cropped-cropped-security-265130_1280.jpg

Willkommen auf diesem neuen Blog. Hier dreht sich zukünftig alles um das Thema Agile Security.

Es werden Themen behandelt wie u.a.:

  • Nichtfunktionale Anforderungen bzgl. Security
  • Sichere Entwicklung von Software
  • Security Testing von Anwendungen

Dies alles wird im Kontext agiler Entwicklungspraktiken betrachtet.
Natürlich wird auch in diesem Blog ein sicherer Aufruf im Browser per SSL unterstützt. Daher immer https://agilesecurity.de verwenden!

Außerdem kann man auch den zugehörigen Meldungen auf Twitter (@agile_security) folgen.