Experteninterview zum Thema Sicherheitslücken

Unser Kollege Johannes hat zum Thema „Automatisierte Überprüfung von Sicherheitslücken in Abhängigkeiten von Java-Projekten“ einen Beitrag geschrieben, der in der neuesten „Java aktuell“-Ausgabe 01 / 2017 veröffentlicht wurde.

Der Artikel erläutert, wie man mit wenigen Schritten ständig über Sicherheitslücken von Abhängigkeiten informiert bleibt. Dies garantiert zwar keine absolute Sicherheit, vermeidet aber mit minimalem Aufwand einen der zehn gängigsten Sicherheits-Makel von Software (laut OWASP).
Den vollständigen Artikel könnt Ihr hier lesen.

Johannes arbeitet als Solution Architect und betreibt in seiner Freizeit einen eigenen Blog. Naheliegend, dass er bei der TRIOLOGY Initiator und Autor des Corporate-Blogs ist. Seine bisherigen Artikel sind hier zu finden.

Ich habe Johannes einige Fragen zu seinem aktuellen Artikel und rund um seine Community-Aktivitäten gestellt:

  • Johannes, warum ist das Thema „Automatisierte Überprüfung von Sicherheitslücken in Abhängigkeiten von Java-Projekten“ so wichtig?
    Vom Auftraggeber wird meist implizit erwartet, dass Software sicher ist, aber es gibt dazu keine expliziten Anforderungen. Um Wirtschaftlichkeit und Qualität unter einen Hut zu bekommen, ist diese Methode der automatisierten Überprüfung sinnvoll. Mit wenig Aufwand kann man gängige Fehler vermeiden, daher sollte jeder Entwickler diese Methode nutzen.
  •  

  • Welche Rolle spielt dieses Vorgehen beim Softwareentwicklungsprozess?
    Da das Tool OWASP Dependency Check, das im Artikel beschrieben wird, noch nicht sehr bekannt ist, wird es in den meisten Projekten auch nicht verwendet. Mit diesem lassen sich bekannte Sicherheitslücken leicht vermeiden, weshalb es eine durchaus wichtige Rolle im Softwareentwicklungsprozess hat.
  •  

  • Wie sollte IT-Sicherheit in Unternehmen behandelt werden?
    Es sollte ein größeres Bewusstsein und Verständnis für Sicherheit vorliegen, sowohl beim Auftraggeber als auch bei den Entwicklern. Der Kunde muss verstehen, dass in Systeme „eingebrochen“ werden kann, wie auch z.B. in Häuser, und dass die Sicherheit von Systemen eine gute Investition ist.
    Sicherheit ist ein Qualitätsmerkmal von Software und sollte daher unbedingt berücksichtigt werden.
  •  

  • Du betreibst auch privat einen Blog. Was hat Dich zum Schreiben bzw. Bloggen bewegt?
    Die Motivation zum Schreiben war, dass ich selber im Internet nach Themen gesucht, sie aber nicht gefunden habe. Außerdem habe ich Spaß am Schreiben und profitiere selbst von meinem Blog, indem ich ihn als „Nachschlagewerk“ nutze.
  •  

  • Wie bist Du auf den Namen Deines Blogs „IT affinity!“ gekommen?
    Ich bin bei einer Stellenbeschreibung über die Mitarbeiter-Anforderung „IT-Affinität“ gestolpert und fand diesen Begriff sehr passend für meinen Blog. IT-Affinität trifft auf mich sowohl im Beruf als auch in der Freizeit zu.
  •  

  • Welchen thematisch verwandten Blog/Blogger kannst Du empfehlen?
    Da fällt mir eigentlich nur der Blogger Martin Fowler ein, der Grundlegende Ideen, Patterns und Trends in der Softwareentwicklung angeregt hat.

 
Danke Johannes, für den Blick „hinter die Kulissen“.

Diesen Beitrag teilen

Sara Nitsche
Corporate Communications
Mit ihrer Leidenschaft für Online-Content hilft sie dabei, dass aus 0 und 1 spannende Stories und interessante Inhalte entstehen.