Software Testing & Qualität - Testautomatisierung, KI & Agilität

Automatisierte Sicherheitsüberprüfungen - Christian Biehler


Listen Later

Die Rolle von Sicherheitstools in CI/CD-Pipelines

📌 Konferenz-Tipp: TACON 2026 in Leipzig (16.–17. September). Ich war letztes Jahr als Keynote dort und fand den Austausch richtig gut 👉 https://swt.fm/tacon

„Seit zehn Jahren habe ich die Hoffnung, bald wird alles besser." - Christian Biehler

In der aktuellen Folge beschäftigen wir uns mit der Bedeutung von Sicherheitstests in der Softwareentwicklung. Sicherheitstests sind nicht nur am Ende, sondern während des gesamten Entwicklungsprozesses notwendig. Verschiedene Tools, wie OWASP-Zap und andere dynamische Scan-Werkzeuge, werden vorgestellt, die dabei helfen, Sicherheitslücken frühzeitig zu erkennen. Zudem werden typische Schwachstellen wie SQL-Injection und Cross-Site-Scripting thematisiert und wie moderne Frameworks diese Probleme angehen. Besonders interessant ist die Beobachtung, dass viele Unternehmen noch zögern, Sicherheitstests zu integrieren, da sie dies als zu kompliziert oder zeitaufwendig empfinden.

Christian Biehler ist ein erfahrener und qualifizierter Experte für IT-Sicherheit.

Nach seinem erfolgreich abgeschlossenen Studium als Master of Science in IT- Sicherheit sammelte er mittlerweile seit über 10 Jahren Erfahrung als Hacker, Penetrationstester, Berater und Trainer. Christian hat für unterschiedliche Unternehmen in verschiedenen Branchen gearbeitet und somit eine vielfältige praktische Kompetenz aus mehr als 300 Projekten in den Bereichen Web-, Mobile-, OS- & Service-Pentesting auf Windows und Linux-Umgebungen. Seit einigen Jahren bildet neben der DevSecOps-Welt insbesondere die Microsoft-Welt rund um die lokalen Windows-Welten mit Clients, Servern und Active Directory sowie die Microsoft-Cloud mit Entra ID, Azure und M365 einen großen Schwerpunkt seiner Arbeit.
Er ist seit 2019 der Geschäftsführer der bi-sec GmbH, einem Unternehmen, das sich auf Beratung, Penetrationstests und Schulungen im Bereich der IT- und Informationssicherheit Sicherheit spezialisiert hat.

Highlights:

  • Dynamische Security-Scanner wie OWASP ZAP und Nuclei lassen sich in CI/CD-Pipelines integrieren und decken ohne manuelle Konfiguration bereits 60 bis 80 Prozent der gängigen Sicherheitsanforderungen ab.
  • Teams, die Security-Checks vor dem Pentest etablieren, reduzieren den Pentest-Report von typischen 60 auf 4 bis 5 Seiten, weil Standardbefunde wie fehlende HTTP-Header vorab automatisch gefunden werden.
  • Broken Access Control hat SQL Injection als häufigste kritische Schwachstelle abgelöst, weil moderne Frameworks Injections weitgehend abfangen, Berechtigungslogik aber weiterhin Eigenverantwortung der Entwickler bleibt.
  • Das größte Hindernis beim Einführen von Security-Testing ist nicht technische Komplexität, sondern ungeklärte Verantwortung: Kein Team will den Hut fangen, wer das Thema intern betreut.
  • Danke an die Community-Partner des Podcasts:Alliance for Qualification | ASQF | Austrian Testing Board | dpunkt.verlag | German Testing Board | German Testing Day | GI Fachgruppe TAV | Heise | HANSER Verlag | ISTQB | iSQI GmbH | oop | QS-TAG | SIGS-DATACOM | skillsclub | Swiss Testing Board | TACON Credits: Sound | Grafik

    ...more
    View all episodesView all episodes
    Download on the App Store

    Software Testing & Qualität - Testautomatisierung, KI & AgilitätBy Richard Seidl - Experte für Software-Entwicklung und Testautomatisierung