Floragasse 7 – 5th floor, 1040 Vienna
Subscribe to our Newsletter

heise Continuous Lifecycle/ContainerConf 2024

November 13, 2024 - November 14, 2024 , 9:00 am - 5:00 pm
German

Join our colleagues Alexander Schatten, senior researcher at SBA Research, and Mathias Tausig, information security consultant at SBA Research Research for their talks on Rettet uns KI aus der Software-Komplexitätsfalle? and Die Leiche im Keller: Sicherheitsrisiken von CI/CD-Systemen.

Abstracts

Die Leiche im Keller: Sicherheitsrisiken von CI/CD-Systemen

Continuous-Integration- und -Delivery-Systeme sind in unserer heutigen Entwicklungslandschaft omnipräsent. Sie erlauben das Automatisieren repetitiver Tätigkeiten sowie den regelmäßigen Einsatz diverser Sicherheitstools. Dadurch helfen sie Entwicklerinnen und Entwicklern sich stärker auf ihre eigentliche Tätigkeit zu fokussieren.

Unglücklicherweise werden die dafür verwendeten Systeme aber oft als einfache Werkzeuge betrachtet, mit denen man sich nicht näher beschäftigen muss. Stattdessen müssen wir sie aber als das sehen, was sie letztlich sind: ein zentrales System mit oft unbegrenzten Berechtigung auf die restliche Infrastruktur. Damit gehen substantielle Sicherheitsrisiken einher, die es einzugrenzen beziehungsweise zu beseitigen gilt.

Dieser Vortrag erläutert die mit CI/CD-Systemen einhergehenden Sicherheitsrisiken basierend auf der “OWASP Top 10 CI/CD Security Risks”-Liste und ergänzt sie um “War Stories” aus realen Sicherheitsüberprüfungen von CI-Systemen.

Portrait picture of men

Mathias Tausig is a trained mathematician and has professional experience as a security officer, developer, SysAdmin and university lecturer for IT security. He currently works as a security consultant in areas such as penetration testing, training and application security. He has spoken at events such as heise devSec, sec4dev, WeAreDevelopers, Linuxwochen and the CCC Easterhegg.

Rettet uns KI aus der Software-Komplexitätsfalle?

Software ist das digitale Nervensystem der modernen Gesellschaft. Implementierung und Wartung aber sind seit Beginn von Krisen begleitet. Die Fähigkeiten von Hard- und Software wachsen schneller als die Kompetenz menschlicher Ingenieure. Aus dieser Krise, die sich entlang der gesamten Software Supply Chain zieht, sind wir bis heute nicht herausgekommen.

Ein paar Beispiele: Millionen Computer weltweit fallen im Juli 2024 aus, weil ein fehlerhaftes Update ausgeliefert wird; im britischen Post-Office-Skandal werden Existenzen zerstört und Menschen inhaftiert, weil Software über Jahrzehnte falsch rechnet. Bei Solarwinds wurde das Build-Environment kompromittiert und Atlassian Tools waren tagelang wegen Softwarefehlern beziehungsweise mangelhafter Backup-Strategie offline; die Software in Autos ist so schlecht, dass sich sicherheitskritische Angriffe bei fast allen Anbietern durchführen lassen; im Jahr 2022 geben Facebook-Techniker zu, dass sie im Kern keine Ahnung haben, wie ihr System funktioniert; Gesundheitsdaten werden in großem Umfang ins Internet geleakt; in Florida gelingt es Hackern Zugang zum Wassersystem einer Stadt zu gelangen und versuchen gefährliche Chemikalien einzuleiten, dies kann nur mit Glück verhindert werden; ein deutscher Einzelhändler versenkt 500 Millionen Euro in einer gescheiterten SAP-Umstellung. Dies ist nur eine kleine Auswahl von Beispielen, die sich beliebig fortsetzen ließen.

Wir stecken in der Komplexitätsfalle und verlieren die Kontrolle. Software wird immer schneller und in größerem Umfang bei gleichbleibend schlechter Qualität produziert – alle Arbeiten entlang der Software Supply Chain erfolgen agil und kontinuierlich. Nun betritt KI die Bühne und verspricht, den Softwareprozess wesentlich zu verändern. Die Frage ist: zum Besseren oder zum Schlechteren? Wenn Menschen überfordert sind, kann KI uns aus der Komplexitätsfalle herausführen? Sollten sich menschliche Programmierer schon mal nach neuen Jobs umsehen? Oder ist dies nur wieder ein Hype, der bald von der Realität eingeholt wird?

half body portrait of man

Alexander Schatten studied chemistry, philosophy and computer science. He has 30 years of experience in software development and architecture. Dr. Schatten is active in science, has worked for large consulting companies, was team leader and managing director of several software companies. He is particularly interested in the behaviour of complex systems and the interaction between software systems and human organizations. He is now a senior researcher at SBA Research, a lecturer at the Vienna University of Technology, a management consultant and a podcaster: Zukunft Denken.

Further information

Continuous Lifecycle/ContainerConf