Auf der diesjährigen heise devSec in Karlsruhe werden wir mit einem Vortrag zu Thema AppSec in der Unternehmens-DNA: Erfahrungen und Praxisbeispiele zur organisatorischen Einbettung sein. Matthias Rohr wird darin anhand zahlreicher Praxisbeispiele seine Erfahrungen aus den letzten Jahren teilen.
Secodis @ heise devSec 2022
Auf der diesjährigen heise devSec in Karlsruhe werden wir mit einem Vortrag zu Thema SSDLC Case Studies präsent sein. Matthias Rohr wird darin anhand zahlreicher Praxisbeispiele seine Erfahrungen aus den letzten Jahren teilen.
Secodis @ GFFT-Insights (18.5.22)
Wir werden bei der GFFT-Insights: Security Testing am 18.5. einen Vortrag zum Thema IAST halten. Darin wird die Technologie allgemein vorgestellt und gegen andere AST-Lösungen wie SAST, SCA und DAST abgegrenzt. Es wird auch eine Live Demo geben, um IAST anhand praktischer Beispiele zu veranschaulichen.
Der Vortrag ist remote, die Teilnahme ist kostenlos und kann über den obigen Link erfolgen.
TSS-WEB 2.0 Released
Our open web development security standard, TSS-WEB, has helped many organizations over the years defining their own set of requirements for this area. Since web development and its security aspects changes quickly, we’ve completely revised the standard and have also integrated OWASP SAMM v2.0, ISO/IEC 27002 and German IT-Grundschutz-Kompendium 2020 into it. TSS-WEB v2.0 is now available at https://tss-web.secodis.com, of course still under Creative Commons.
TSS-WEB 2.0 Verfügbar
Unser offener Sicherheitsstandard für die Webentwicklung, TSS-WEB, wird mittlerweile von zahlreichen Unternehmen eingesetzt. Da sich dieser Bereich laufend ändert, haben wir den Standard nun vollständig überarbeitet und als fertige Version 2.0 heute online gestellt. Neben zahlreichen Anpassungen wurden darin nun auch OWASP SAMM v2.0, ISO/IEC 27002 sowie das IT-Grundschutz-Kompendium 2020 integriert.
TSS-WEB 1.8 Verfügbar
Unser Web Security Standard Template TSS-WEB ist ab sofort als neue Version in deutsch und englisch verfügbar.
Viele Abschnitte des Standards wurden überarbeitet und die darin enthaltenen Anforderungen an den Stand der Technik angepasst.
Natürlich bleibt der Content unter der Creative Commons Lizenz und kann dadurch von jedem kostenfrei verwendet und nach eigenen Wünschen angepasst werden.
TSS-WEB 1.8 Available
We are proud to release an updates version of our web security standard template TSS-WEB in both English and German language.
Besides a few smaller fixes and changes, we modified a number of sections and updated many requirements (e.g. security testing or Secure SDLC requirements).
The content is released under the Creative Common license and can hence be used or changed for free by organizations.
New Secure Coding Guidelines & Threat Catalog Available
We at Secodis have developed extensive practical know-how in this field, especially for the Java stack and for various Web frameworks. If you need sound requirements or guidelines we do not start in a “green-field” but can use our existing security guidelines as a comprehensive foundation for your customization. This approach is not only cost effective but ensures a high quality of your requirements as well.
Since many customers prefer to build their guidelines within Atlassian Confluence, we now provide our guidelines and threat catalog as an export for Atlassian Confluence as well. Integration into SharePoint (via SharePoint Connector) is possible as well.
A teaser of the guidelines can be found here.
Our new Book is available!
Finally, and after many months of work, the second edition of the popular book on applied Web application security by Matthias Rohr is now available as both hard cover and ebook. In this new edition Matthias has mostly focused on new technologies and practices such as DevSecOps, agile security or container security. Unfortunately, the book is only available in German.
More information is available at the official Web site of the book: https://www.webappsecbuch.de.
Neue Security Guidelines & Trainings verfügbar
Wir haben in den vergangenen Monaten sehr viel Arbeit und Zeit in die Überarbeitung unser Secure Coding Guidelines und der Bedrohungskataloge sowie auch unserer Trainings und Workshops gesteckt.
Im Fall unserer Guidelines und Kataloge haben wir uns dazu entschlossen einen völlig neuen Weg zu gehen und unseren Kunden diesen nun auch als Export für Atlassian Confluence anzubieten und diese mit zahlreichen zusätzlichen Hinweisen (z.B. in Form von Code Snippets) für eine ganze Reihe von gängigen Technologien zu erweitern. Auch eine Einbindung in Microsoft SharePoint ist möglich. Sie können diesen sehr leicht selbst (oder natürlich auch durch uns) anpassen und Ihren Entwicklern zur Verfügung zu stellen.
Ein Teaser der Guidelines ist hier zu sehen.
Unsere Trainings haben wir um neue Themen wie Agile Security oder Threat Modeling erweitert und unsere bestehenden Entwicklerschulungen um neue Inhalte und zahlreiche Hands-On-Übungen ergänzt sowie in einzelne Module aufgeteilt, um noch besser den Wünschen unserer Kunden gerecht zu werden.