Sicher, resilient, handlungsfähig: Moderne CI/CD-Pipelines

Moderne Anwendungen sind tief in Ökosysteme aus Drittanbieterpaketen eingebettet: Was in vendor, node_modules oder Cargo Cache landet, ist mindestens so sicherheitsrelevant wie der selbst geschriebene Code. Aktuelle Paketmanager ziehen daraus Konsequenzen: Die Durchsetzung von Security Advisories wandert aus nachträglichen Reports in den Dependency Resolver selbst, und dieselbe Maschinerie trägt inzwischen auch Malware-Flags und Policy-Regeln. Für CI/CD-Pipelines heißt das: Wer nicht smart und resilient aufgestellt ist, steht still, sobald eine Abhängigkeit mit bekannter Sicherheitslücke installiert werden soll.

Dieser Vortrag arbeitet sich von unten nach oben durch die Lieferkette: Woher stammen Advisory-Daten, und wie werden sie aggregiert? Wie funktionieren Resolver-seitiges Blocken und Filterlisten, und wie lösen sie das ältere Tooling ab? Wo beißen die neuen Defaults auf eine Weise, wie es ein passives Audit nie tat? Und was sollten Anwendungsentwickler:innen und Maintainer heute konkret tun, damit ihre Pipelines nicht nur sicher, sondern auch handlungsfähig bleiben?

Zum ersten Mal werde ich "Sicher, resilient, handlungsfähig: Moderne CI/CD-Pipelines" am auf der heise devSec in Marburg präsentieren.

Über mich

Ich bin der Autor und Maintainer von PHPUnit, dem De-facto-Standard unter den Test-Frameworks im PHP-Ökosystem. Es wird von Millionen von Entwicklerinnen und Entwicklern genutzt und ist in den Build-Pipelines von Start-ups, Fortune-500-Unternehmen und Organisationen des öffentlichen Sektors gleichermaßen integriert. Ich bin Vorstandsmitglied der PHP Foundation und Mitbegründer von thePHP.cc, wo ich Organisationen in den Bereichen Teststrategie, Softwarearchitektur und Abhängigkeitsmanagement berate.

Ich habe über 25 Jahre Erfahrung in der Arbeit mit Open Source-Software und habe sowohl zur PHP-Sprache selbst als auch zu den Tools beigetragen, auf denen dieses Ökosystem basiert. Diese Erfahrung – als Betreuer kritischer Abhängigkeiten, als Berater für Organisationen, die darauf angewiesen sind, und als Mitbegründer der Stiftung, die diese Arbeit nun finanziert – fließt in meine Texte und Vorträge zu Softwarequalität, Sicherheit und der Nachhaltigkeit der Open Source-Infrastruktur ein, auf der moderne Architekturen still und leise ruhen.

Kommende Veranstaltungen

Weitere Veranstaltungen
Zurück zur Übersicht