Software Testing & Qualität - Testautomatisierung, KI & Agilität

Security-Analysen - Nils Göde


Listen Later

Software-Security beachten, bevor es zu spät ist

📌 Konferenz-Tipp: TACON 2026 in Leipzig (16.–17. September). Ich war letztes Jahr als Keynote dort und fand den Austausch richtig gut 👉 https://swt.fm/tacon

"Siebenstellige Findingszahlen sind jetzt auch nichts Ungewöhnliches für uns.” - Nils Göde

Security Audits sind ein essenzieller Bestandteil des Entwicklungsprozesses. Nils Göde erläutert die Wichtigkeit, Security-Themen frühzeitig zu berücksichtigen und nicht erst, wenn es zu spät ist. Welche alltäglichen Herausforderungen treten dabei auf und wie können Teams einen proaktiven Ansatz zur Sicherheit entwickeln? Nils teilt wertvolle Tipps zur Identifikation und Handhabung von Sicherheitslücken sowie zu praktischen Werkzeugen und Methoden für ein kontinuierliches Sicherheitsmanagement. Sicherheit ist ein fortlaufender Prozess und keine einmalige Kraftanstrengung.

Nils Göde ist promovierter Experte für Software-Qualität und leitet das Team Software-Auditierung bei der CQSE. Er analysiert und bewertet geschäftskritische Systeme und teilt seine Erkenntnisse auf Konferenzen wie OOP und JAX. Seine Forschung zur Erkennung von Code-Klonen wurde mehrfach ausgezeichnet, u.a. mit dem "Best Paper Award" auf der European Conference on Software Maintenance and Reengineering.

Highlights:

  • Ad-hoc-Aufmerksamkeit für Security funktioniert nicht: Wer das Thema nur nach einem Vorfall angeht, verliert die Attention genauso schnell wieder, wie sie gekommen ist.
  • Statt Aufräumaktionen empfiehlt sich die Zeltplatzregel: Wer eine Datei oder Methode ohnehin anfasst, räumt dabei zwei oder drei Security-Findings direkt mit weg.
  • Der Pull-Request ist der beste Integrationsort für Security-Checks, weil dort jede Änderung ohnehin vorbeikommt und ein menschlicher Reviewer die Tool-Ergebnisse sofort sieht.
  • Eine siebenstellige Findingzahl muss kein Grund zur Panik sein: Wer eine Baseline zieht und kontinuierlich den Trend verbessert, hat mehr erreicht als ein Team, das einmalig aufräumt und danach nichts mehr tut.
  • Security lässt sich nicht allein auf Code-Ebene beantworten, weil Rollenkonzepte, IT-Infrastruktur und organisatorische Regeln zwingend mitbetrachtet werden müssen.
  • Danke an die Community-Partner des Podcasts:Alliance for Qualification | ASQF | Austrian Testing Board | dpunkt.verlag | German Testing Board | German Testing Day | GI Fachgruppe TAV | Heise | HANSER Verlag | ISTQB | iSQI GmbH | oop | QS-TAG | SIGS-DATACOM | skillsclub | Swiss Testing Board | TACON Credits: Sound | Grafik

    ...more
    View all episodesView all episodes
    Download on the App Store

    Software Testing & Qualität - Testautomatisierung, KI & AgilitätBy Richard Seidl - Experte für Software-Entwicklung und Testautomatisierung