Skip to content

Commit

Permalink
Add first security contents
Browse files Browse the repository at this point in the history
  • Loading branch information
andifalk committed Dec 7, 2023
1 parent 6f9df5b commit 5926fc4
Show file tree
Hide file tree
Showing 14 changed files with 67 additions and 7 deletions.
9 changes: 9 additions & 0 deletions 1_security/1_theorie/SecurityAutomatisierung.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,9 @@
# Security Automatisierung

## Security Testing

![Security Testing Pyramide](../99_assets/images/security_testing_pyramide.png)

## Security Observability

![SIEM](../99_assets/images/siem.png)
6 changes: 6 additions & 0 deletions 1_security/1_theorie/SecurityKultur.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,6 @@
# Security Culture


## Security Champions

![Security Champions](../99_assets/images/security_champions.png)
38 changes: 38 additions & 0 deletions 1_security/1_theorie/ÜbersichtSecInDevOps.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,38 @@
# Security (in DevOps)

![Secure Software Development Lifecycle](../99_assets/images/secure_software_development_lifecycle.png)

## Anforderungen für Security


### Threat Modeling

Mittels der Bedrohungsmodellierung (Threat Modeling) können frühzeitig potenzielle Bedrohungen, wie Schwachstellen oder die Möglichkeit von Angriffen, gegen ein System oder eine Anwendung systematisch identifiziert und bewertet werden. Ziel ist es, diese Bedrohungen zu verstehen um Maßnahmen zu ergreifen, die das Risiko von Sicherheitsverletzungen verringern.

Die Bedrohungsmodellierung wird in de nachfolgend beschriebenen Schritten durchgeführt:

1. __Erstellung eines Abbilds über das System__ (_What are we working on?_):
Mit Hilfe geeigneter Diagramme wie z.B. mit einem Datenflussdiagram wird visualisiert, wie das System aufgebaut ist und wie Daten über diverse Übertragungsprotokolle durch das System fließen.
2. __Identifikation von Bedrohungen und Schwachstellen__ (_What can go wrong?_):
Auf Basis des Systemabbilds werden im zweiten Schritt potenzielle Bedrohungen und Schwachstellen ermittelt. Dies erfolgt mit unterschiedlichen Methoden wie z.B. der [STRIDE]() Methode.
3. __Definition und Umsetzung von Gegenmaßnahmen und Strategien zum Umgang mit den Bedrohungen und Schwachstellen__ (_What are we going to do about it?_):
Für jede der gefundenen Bedrohungen und Schwachstellen müssen dann Sicherheitsmassnahmen definiert und umgesetzt werden um die damit verbundenen Risiken zu mindern.
4. __Retrospektive__ (_Did we do a good enough job?_):
Im letzten Schritt wird geprüft, ob das Threat Model vollständig ist und alle wesentlichen Risiken erkannt und behandelt wurden. Darüber hinaus wird laufend die Effizienz des Threat Modeling Prozesses überprüft.

### Application Security Verification Standard

![ASVS](../99_assets/images/asvs.png)


## Sichere Architektur und Designprinzipien

![Secure Software Development Lifecycle](../99_assets/images/architecture_clean_code.png)

## Secure Coding

### Referenzen und weiterführende Links

- [Threat Modeling Manifesto](https://www.threatmodelingmanifesto.org/)
- [OWASP ASVS](https://github.com/OWASP/ASVS)
- [CALMS: The DevOps Culture Model](https://www.atlassian.com/devops)
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added 1_security/99_assets/images/asvs.png
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added 1_security/99_assets/images/security_topic.png
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added 1_security/99_assets/images/siem.png
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
5 changes: 5 additions & 0 deletions 1_security/README.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,5 @@
# Security

- [Security (in DevOps)](./1_theorie/ÜbersichtSecInDevOps.md)
- [Security Automatisierung](./1_theorie/SecurityAutomatisierung.md)
- [Security Culture](./1_theorie/SecurityKultur.md)
16 changes: 9 additions & 7 deletions README.md
Original file line number Diff line number Diff line change
Expand Up @@ -9,25 +9,28 @@ Dieses Repository enthält alle Übungen und Materialien, die während des Works
Der Workshop ist in drei Hauptbereiche unterteilt:

//TODO: Agenda vervollständigen

1. **Grundlagen DevOps**

- Einführung in DevOps-Prinzipien
- Continuous Integration (CI) und Continuous Deployment (CD)
- ...
- ...

2. [**Grundlagen Security**](1_security/README.md)

2. **Grundlagen Security**
- Sicherheitsgrundlagen für Entwickler
- Bedrohungsmodellierung
- Identifikation von Schwachstellen
- ...
- Sicherheitsanforderungen
- Testautomatisierung für Security
- Security Observabilty

3. **Security in der Supplychain**

- Sicherheitsaspekte in der Lieferkette
- Container-Sicherheit
- Integration von Sicherheitsprüfungen
- ...



## Struktur des Repositories

Das Repository ist nach den Workshop-Bereichen strukturiert. Jeder Bereich enthält einen separaten Ordner mit den entsprechenden theoretischen Grundlagen und praktischen Teilen.
Expand All @@ -41,7 +44,6 @@ Das Repository ist nach den Workshop-Bereichen strukturiert. Jeder Bereich enth
- [**2_supplychain/**](./2_supplychain/)
- Enthält Übungen und Materialien zu Sicherheitsaspekten in der Supplychain.


## Umfrage zur Erwartungshaltung

//TODO: Link zur Umfrage einfügen

0 comments on commit 5926fc4

Please sign in to comment.