Difference between revisions of "OWASP German Chapter Stammtisch Initiative/München"

From OWASP
Jump to: navigation, search
(Folien: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom Abschlussworkshop der Projektphase (Dr. Gregor Kuznik))
(Einladung zum 77. Stammtisch: Security Requirements im Software Development Lifecycle (Daniel Kefer))
Line 8: Line 8:
 
<br>
 
<br>
 
<br>
 
<br>
<span style="font-size:110%;"><b>Einladung</b> zum (</span><span style="color:#008040; font-size:120%"><b>76.</b></span><span style="font-size:110%;">) <b>Münchner OWASP-Stammtisch am Di, 21.02.2017, um 19:00 Uhr</b>.
+
<span style="font-size:110%;"><b>Einladung</b> zum (</span><span style="color:#008040; font-size:120%"><b>77.</b></span><span style="font-size:110%;">) <b>Münchner OWASP-Stammtisch am Di, 21.03.2017, um 19:00 Uhr</b>.
* <span style="background:yellow;"><b>Wer kann, bitte einen Laptop/ein Tablet mitbringen und die Folien des ARIEL-Workshops vorher herunterladen: [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056]. Danke!</b></span>  
+
* <b>Security Requirements im Software Development Lifecycle (Daniel Kefer)</b><br> Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.<br> Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.<br> Das Tool wurde im Mai 2016 open sourced (verfügbar unter [https://github.com/SecurityRAT https://github.com/SecurityRAT]) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br>Daniel Kefer kommt ursprünglich aus Tschechien, wo er seit 2007 als Berater mit Application Security Themen (Penetration Testing, Secure SDLC) unterwegs war. Seit 2011 arbeitet er für 1&1, wo er zur Zeit das Application Security Team im Bereich Portal mehrerer Marken leitet. Abgesehen von SecurityRAT arbeitet er in seiner Freizeit noch am OWASP SAMM Projekt.
* <b>Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom Abschlussworkshop der Projektphase</b> (Dr. Gregor Kuznik)<br> Im Verbundvorhaben Air Traffic Resilience (ARIEL) wurde die "Widerstandsfähigkeit des Lufttransportsystems" untersucht. Das Ziel war es, sowohl auf der Ebene der Methodenentwicklung zur Lageeinschätzung als auch durch die Erstellung konkreter Handlungsvorschläge die Angriffssicherheit des Lufttransportsystems zu erhöhen. Durch die mit der zunehmenden Vernetzung im System einhergehenden Steigerung der Komplexität, erhöht sich auch das Bedrohungspotential (insbesondere aus dem Cyber-Raum). Das Verbundvorhaben adressierte dieses, indem geeignete Ansätze zur Modellierung und Risikobewertung untersucht wurden, um hieraus Handlungsempfehlungen abzuleiten.<br> Der Vortrag stellt die präsentierten Ergebnisse kurz vor und lädt zu einer Diskussion über die Übertragbarkeit der Methoden und Ergebnisse auf andere Branchen ein.
 
 
* <b><span style="background:yellow; font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus]</span>, Sendlinger Straße 14, 80331 München</b>
 
* <b><span style="background:yellow; font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus]</span>, Sendlinger Straße 14, 80331 München</b>
 
:* Mit <b><u>[http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]</u></b>:
 
:* Mit <b><u>[http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]</u></b>:
Line 18: Line 17:
 
* Um vorhergehende <b>Anmeldung per Mail</b> bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird <b>gebeten</b>, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.  
 
* Um vorhergehende <b>Anmeldung per Mail</b> bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird <b>gebeten</b>, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.  
 
* '''Spread the word'''<br>Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
 
* '''Spread the word'''<br>Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
 
 
<br>Schönen Gruß,<br>Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)
 
<br>Schönen Gruß,<br>Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)
  

Revision as of 03:19, 13 March 2017

Willkommen beim OWASP-Stammtisch München

... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

A K T U E L L E S :


Wir suchen Vorträge für die nächsten Stammtische in 2017!

Einladung zum (77.) Münchner OWASP-Stammtisch am Di, 21.03.2017, um 19:00 Uhr.

  • Security Requirements im Software Development Lifecycle (Daniel Kefer)
    Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.
    Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.
    Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.
    Daniel Kefer kommt ursprünglich aus Tschechien, wo er seit 2007 als Berater mit Application Security Themen (Penetration Testing, Secure SDLC) unterwegs war. Seit 2011 arbeitet er für 1&1, wo er zur Zeit das Application Security Team im Bereich Portal mehrerer Marken leitet. Abgesehen von SecurityRAT arbeitet er in seiner Freizeit noch am OWASP SAMM Projekt.
  • Ort: Hackerhaus, Sendlinger Straße 14, 80331 München
  • ab Marienplatz [U3/U6, S-Bahn]:
    Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
  • ab Sendlinger Tor [U1/U2/U3/U6]:
    Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
  • Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
  • Um vorhergehende Anmeldung per Mail bei Torsten Gigler @ wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
  • Spread the word
    Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.


Schönen Gruß,
Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)


Geplante Stammtisch-Vorträge und -Diskussionen

Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.


Allgemeines

Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an Christoph Kemetmüller @, Torsten Gigler @ oder Thomas Herzog @ wenden.

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember).

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind hier zu finden.

Bereits gehaltene Stammtisch-Vorträge


Historisches

Details zur letzten Stammtisch-Umfrage vom September 2012

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform SurveyMonkey.

1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?
73,7 % "Einmal im Monat"
15,8 % "Alle zwei Monate"
5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"
2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?
83,3 % "Di."
77,8 % "Mi."
44,4 % "Do."
33,3 % "Mo."
11,1 % "Sa."
5,6 % jeweils für "Fr." und "So."
3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?
88,9 % "3. Woche des Monats"
66,7 % "2. Woche des Monats"
55,6 % "1. Woche des Monats"
33,3 % "4. Woche des Monats"
4. Was wäre die perfekte Uhrzeit für den Stammtisch?
57,9 % "19:00"
15,8 % "20:00"
10,5 % jeweils für "18:00" und "19:30"
5,3 % "17:00"
5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?
Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
3,38 "Maxvorstadt"
3,33 "Altstadt-Lehel"
3,00 "Sendling"
2,33 "Schwanthalerhöhe"
2,00 "Schwabing-West"
[..]
0,25 "Hadern"
0,13 "Bogenhausen"
0,00 "Milbertshofen-Am Hart"
-0,10 "Feldmoching-Hasenbergl"
6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:
  • "Wirtshaus zum Wendlinger"
  • "SAX"
  • "Kleine Schmausefalle"
  • "Altes Kreuz"
  • "Nockherberg"
  • 7. Was ich am Stammtisch ändern würde:
  • "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
  • "Mehr Workshops / Vorträge" wurde 2 x genannt
  • "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
  • "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
  • "Mehr Schwerpunkte"
  • "ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"
  • 8. Was ich am Stammtisch unbedingt behalten möchte:
  • "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
  • "Kontakte / Community / Zusammenstellung der Menschen"
  • "Fachvorträge"
  • "Feilen an OWASP-Projekten"
  • "(Weiß-)Bier" wurde 2 x genannt
  • 9. Zum Abschluss wollte ich schon immer mal loswerden:
  • "Lob für die Organisation" wurde 4 x genannt

  • (Kleines HowTo für die deutschen wiki-Seiten)