PagelShield https://pagel.pro/ Tue, 07 Jul 2026 15:28:45 +0000 de hourly 1 https://wordpress.org/?v=7.0 Secure AI Coding: Sicher entwickeln mit KI-Coding-Assistenten https://pagel.pro/secure-ai-coding/ Tue, 07 Jul 2026 14:42:06 +0000 https://pagel.pro/secure-ai-coding/ Sicher entwickeln mit KI-Coding-Assistenten: ein Hands-on-Tag von Secure Prompting bis Agenten-Härtung. Hoher Praxisanteil.

Der Beitrag Secure AI Coding: Sicher entwickeln mit KI-Coding-Assistenten erschien zuerst auf PagelShield.

]]>
Von Secure Prompting bis Agenten-Härtung: ein Hands-on-Tag für Entwicklungsteams.

Übersicht

KI-Coding-Assistenten wie GitHub Copilot, Claude Code und Cursor schreiben inzwischen einen erheblichen Teil des Produktivcodes. Dieser ist messbar unsicherer, als er wirkt: Veracode fand in seinem 2025 GenAI Code Security Report über 100 LLMs hinweg in 45 % der Coding-Aufgaben Sicherheitsschwachstellen (Java: über 70 %, XSS: 86 % Fehlerrate). Bereits 2022 zeigte die NYU-Studie „Asleep at the Keyboard?“, dass rund 40 % der von Copilot generierten Programme verwundbar waren. Eine Stanford-Studie belegt zudem, dass Entwickler:innen mit KI-Assistent unsichereren Code schreiben, ihn aber für sicherer halten als die Kontrollgruppe ohne KI. Gleichzeitig wird die KI-Toolchain selbst zur Angriffsfläche: Prompt Injection über Ticket-Texte und READMEs, bösartige angebundene Server, Agenten mit zu weitreichenden Rechten und halluzinierte Pakete. Laut einer USENIX-Security-Studie sind 19,7 % der von LLMs vorgeschlagenen Abhängigkeiten frei erfunden.

In diesem eintägigen, praxisorientierten Kurs lernen Sie, KI-Assistenten so einzusetzen, dass Geschwindigkeit und Sicherheit zusammenkommen. Sie erfahren, welche Schwachstellenmuster KI-Code typischerweise enthält, wie Sie Sicherheitsanforderungen schon vor dem ersten Prompt festlegen, wie Sie der KI einen Sicherheitsleitfaden mitgeben, der bei jeder Codegenerierung wirkt, wie Sie KI-Code effizient und adversarial reviewen und wie Sie Ihre Entwicklungsumgebung selbst gegen Angriffe härten. Zum Abschluss stehen automatische Leitplanken im Workflow und ein gemeinsamer Debrief. Ein großer Teil des Kurses besteht aus Labs an vorbereiteten Übungsumgebungen.

Agenda

ZeitModulInhalt
09:00-09:30Begrüßung & LagebildWie Copilot, Claude Code & Cursor arbeiten; Zahlen zu Schwachstellenraten; warum „läuft beim ersten Versuch“ das gefährlichste Signal ist
09:30-10:30Typische Schwachstellen in KI-CodeWarum KI-generierter Code anders (und vorhersagbar) fehlschlägt als von Menschen geschriebener; welche Fehlerklassen immer wieder auftreten und woran man sie im Alltag erkennt. Lab: Schwachstellen in echtem KI-generiertem Code finden und ausnutzen
10:30-10:45Pause
10:45-11:30Security vor dem PromptLeichtgewichtiges Threat Modeling für Features; Sicherheitsanforderungen als Akzeptanzkriterien formulieren. Lab: Bedrohungsanalyse für eine Beispiel-Story
11:30-12:30Secure Prompting & SicherheitsleitplankenSichere Prompts formulieren; der KI einen Sicherheitsleitfaden mitgeben, der projekt- und organisationsweit bei jeder Codegenerierung greift. Lab: Unsichere Prompts umschreiben, eigenen Sicherheitsleitfaden für den Assistenten erstellen und die Wirkung messen
12:30-13:30Mittagspause
13:30-14:30KI-Code reviewenReview-Checkliste für KI-Diffs; Risiken bei von der KI vorgeschlagenen Abhängigkeiten; Sicherheitstests, die die KI nicht von selbst schreibt. Lab: Adversarialer Review und KI-gestützt Security-Tests generieren
14:30-15:30Die KI-Toolchain als AngriffsflächePrompt Injection über Issues, Kommentare, Doku; Risiken angebundener Tools und Server; Agenten-Rechte, Sandboxing, Secrets-Schutz. Lab/Demo: Injection-Angriff auf einen Agenten und Härtung der Konfiguration
15:30-15:45Pause
15:45-16:45Guardrails & AutomatisierungAutomatische Sicherheitsprüfungen im KI-Workflow; Leitplanken, die Verstöße stoppen, bevor Code entsteht; Metriken und Team-Rollout
16:45-17:00Abschluss & Wrap-upGemeinsamer Debrief, Ressourcenliste, Transfer in den Alltag, Feedback

Eckdaten

  • 1 Tag, 09:00-17:00 Uhr, hoher Praxisanteil
  • Zielgruppe: Entwickler:innen, Tech Leads, DevSecOps- und AppSec-Engineers
  • Voraussetzungen: Programmiererfahrung; eigener Laptop mit lokal installiertem Docker, die Übungsumgebung wird gestellt

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

Timo Pagel

Kundenstimmen

+ Sehr guter Anteil konkreter Übungen!
+ Wichtige Bereiche wurden immer mit der „Übersichtskarte“ gezeigt.
+ Guter Rundumblick

Anonym, IT-Beratungsbranche

Schönes Beispiel aus der Praxis von docker12321 🙂

Anonym, Versicherungsbranche

interaktiver Ansatz gefällt mir gut!

Anonym, Versicherungsbranche

Beispielseiten wie die „Check Security Header“ gefallen mir sehr gut.

Anonym, Versicherungsbranche

Sehr gute Idee, dass einem Zeit gelassen wird die praktischen Aufgaben direkt zu machen und gewartet wird, dass wirklich alle fertig sind (indem alle die Hand heben). Gut waren auch die Anzahl an Übungen und die erklären dazu was denn genau passiert. Auch die Themen der Übungen wurden gut gewählt, sodass man versteht, was die Tools machen und wie sie funktionieren

Anonym, Versicherungsbranche

Gute Übungen, die einen sinnvollen Lerneffekt hatten

Anonym, Versicherungsbranche

Sehr angenehme Einführung in das Thema des Threads Modelling, sodass man sich schon selbst Gedanken bezüglich der potentiellen Threats machen kann.

Anonym, Versicherungsdienstleister

Wir müssen uns alle an die aktuelle Situation gewöhnen. Insofern war heute alles cool! Vielen Dank
(Hinweis: Erster Workshop beim Corona-Start)

Anonym, Versicherungsbranche

Angenehm aufbereitet. Vor allem die praktischen Beispiele helfen immer enorm!

Anonym, Versicherungsdienstleister

Viele Übungen; einiges an Input, aber durch den Praxisbezug sehr verständlich! Nicht nur firmenbezogenen, sondern auch für die private Anwendung interessant

Anonym, IT-Beratungsbranche

Kostenloses Erstgespräch vereinbaren

Referenzen

  • Veracode, 2025 GenAI Code Security Report (veracode.com)
  • Pearce et al., „Asleep at the Keyboard?“, IEEE S&P 2022, arxiv.org/abs/2108.09293
  • Perry et al., „Do Users Write More Insecure Code with AI Assistants?“, ACM CCS 2023, arxiv.org/abs/2211.03622
  • Spracklen et al., „We Have a Package for You!“, USENIX Security 2025, arxiv.org/abs/2406.10279

Der Beitrag Secure AI Coding: Sicher entwickeln mit KI-Coding-Assistenten erschien zuerst auf PagelShield.

]]>
Secure Modern Development https://pagel.pro/secure-modern-development/ Thu, 17 Nov 2022 10:30:57 +0000 https://pagel.pro/?p=2241 Durchführung einer strukturierten Analyse zur Identifizierung von Bedrohungen in IT-Systemen.

Der Beitrag Secure Modern Development erschien zuerst auf PagelShield.

]]>
Übersicht

Moderne Entwicklung mit Cloud Native Produkten unterstützt den Entwicklungsprozess. Hier ist eine komplette unsortierte Liste meiner Angebote. Nicht das passende dabei? Sprechen Sie mich an!

Beispiel Inhalte

  • Rate Limiting (1h)
  • Resource Limiting (0.5h)
  • Workshop Dynamic Application Security Testing (2h)
  • Identity Providers, OAuth 2.0, OAuth 2.1, JWT, Storage of Tokens (2h)
  • Security of Client Side Storage (1h)
  • Workshop: Authorization with the Open Policy Agent (4h)
  • Container Security (1 day)
  • Introduction into Kubernetes Security (1h-2h)
  • Introduction in Vulnerability and Patch Management for Applications (1h)
  • Business Continuity Management for Developers (0.5h)
  • Headers and API Headers (0.5h)
  • Supply Chain and Mitigations (2h)
  • Workshop: Hack your own applications (2-3 days)
  • Abuse Tests for Developers (0.75h)
  • Workshop: Secrets Handling with OWASP Wrong Secrets (1.5h)
  • OWASP Top Ten (Injections, XSS, Sec. Misconfiguration, …)
  • Workshop Threat Modeling (1 day)
  • Distroless (0.5h)
  • OWASP DefectDojo Hands On Training (1h)
  • Malware Scanning for Developers (0.5h)

Alle Themen beinhalten Hands-On-Anteile.

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag Secure Modern Development erschien zuerst auf PagelShield.

]]>
Product Owner Security Training https://pagel.pro/product-owner-security/ Thu, 02 Sep 2021 06:28:24 +0000 https://pagel.pro/?p=2104 Security Awareness Training

Der Beitrag Product Owner Security Training erschien zuerst auf PagelShield.

]]>
Übersicht

Nicht nur Entwickler und Administratoren benötigen eine regelmäßige Sensibilisierung zum Thema Sicherheit, sondern auch Agile Product Owner. Da Product Owner das Aufgaben im Projekt steuern, ist Verständnis für Sicherheit in der modernen Entwicklung und im IT-Betrieb besonders wichtig.

Agenda:

  • Einführung und fachliche Bedrohungen
  • Technische Bedrohungen
  • Anforderungen aus der Informationssicherheit
  • Agile Maßnahmen wie Application Security Testing, Bedrohungsmaßnahmen
  • Faziit

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag Product Owner Security Training erschien zuerst auf PagelShield.

]]>
Open Policy Agent https://pagel.pro/open-policy-agent/ Tue, 16 Mar 2021 00:43:43 +0000 https://pagel.pro/?p=1831 Durchführung einer strukturierten Analyse zur Identifizierung von Bedrohungen in IT-Systemen.

Der Beitrag Open Policy Agent erschien zuerst auf PagelShield.

]]>
Übersicht

Der Open Policy Agent (OPA) ist eine Open-Source und generische Engine über die einheitliche und Kontext-beachtende Richtlinien über den gesamten Technologie-Stack durchgesetzt werden können.

Während aus Sicherheits-Sicht der Einsatz einer zentralen Autorisierungs-Komponente zunächst sinnvoll erscheint, ist dies ein einer dezentralen Mikroservice-Landschaft in der Realität häufig schwer umzusetzen und führt zu mehr Nachteilen als Vorteilen.
Im Workshop wird der Open Policy Agent und seine Einsatz-Szenarien erläutert um darauf aufbauend in der Sprache „rego“ selbst Autorisierungs-Regeln für Mikroservices beziehungsweise Web-Anwendungen zu konzipieren.

Inhalte

  • Einleitung und Auswirkungen fehlender Autorisierung
  • Kontexte in Mirkoservices
  • Arbeitsweise von OPA
  • Einsatz-Szenarien wie Kubernetes Adminssion Controller und Autorisierung in Webanwendungen
  • Hands-On Übungen

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag Open Policy Agent erschien zuerst auf PagelShield.

]]>
Agile Threat Modeling https://pagel.pro/agile-threat-modeling-de/ Tue, 02 Feb 2021 13:01:06 +0000 https://pagel.pro/?p=1230 Durchführung einer strukturierten Analyse zur Identifizierung von Bedrohungen in IT-Systemen.

Der Beitrag Agile Threat Modeling erschien zuerst auf PagelShield.

]]>
Beschreibung

Ca. 50% der Bedrohungen in einem System fallen auf Architektur und Design, entsprechend sollten Unternehmen an dieser Stelle proaktiv handeln.

Thread Modeling bezeichnet eine methodische Herangehensweise die anhand von Angriffsszenarien Bedrohungen im Systemdesign aufzeigt die zu Real-Life-Konsequenzen für das System bzw. Business führen.

Unter dem Druck digitaler Transformation ist die Versuchung für Geschäftsverantwortliche/Produktowner groß, fortlaufend fachliche Features zu liefern.

Security ist allerdings ebenfalls ein dauerhaft gefordertes Feature und Qualitätsziel, dass Kunden erwarten und verdienen.

Im Workshop wird der Teilnehmer anschaulich und nachvollziehbar mit einem Mix aus Theorie und praktischen Übungen anhand von Show Cases in die Herangehensweise nach der bewährten STRIDE-Methode eingeführt.

Der Workshop schließt ab indem die Teilnehmer kennenlernen wie man durch spielerische Elemente in Form eines Kartenspiels Threat Modeling auch für Mitarbeiter, die nicht so Security-affin sind, attraktiv gestalten kann.

Inhalt

  • Kennenlernen Secure Design Prinzipien
  • Teilnehmer eignen sich theoretisches Grundlagenwissen und darauf aufbauendes Methodenwissen an, um eine Risiko-Bewertung von (Web-)Systemen durchzuführen
  • Threat Modeling als Methode um Designschwachstellen zu entdecken
  • Bewusstsein schaffen für hohe Kosten und Aufwand zur Behebung von Design-Schwachstellen
  • Kennenlernen von Gamification Elementen
  • Tipps und Tricks für Anwendung von Threat Modeling in der Praxis

Zielgruppe

Entwickler, Architekten und DevOps Engineers, aber auch Produktverantwortliche und IT-Sicherheits-Architekten mit Grundverständnis von IT-Architekturen.

Methodology

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

+ Sehr guter Anteil konkreter Übungen!
+ Wichtige Bereiche wurden immer mit der „Übersichtskarte“ gezeigt.
+ Guter Rundumblick

Anonym, IT-Beratungsbranche

Schönes Beispiel aus der Praxis von docker12321 🙂

Anonym, Versicherungsbranche

interaktiver Ansatz gefällt mir gut!

Anonym, Versicherungsbranche

Beispielseiten wie die „Check Security Header“ gefallen mir sehr gut.

Anonym, Versicherungsbranche

Sehr gute Idee, dass einem Zeit gelassen wird die praktischen Aufgaben direkt zu machen und gewartet wird, dass wirklich alle fertig sind (indem alle die Hand heben). Gut waren auch die Anzahl an Übungen und die erklären dazu was denn genau passiert. Auch die Themen der Übungen wurden gut gewählt, sodass man versteht, was die Tools machen und wie sie funktionieren

Anonym, Versicherungsbranche

Gute Übungen, die einen sinnvollen Lerneffekt hatten

Anonym, Versicherungsbranche

Sehr angenehme Einführung in das Thema des Threads Modelling, sodass man sich schon selbst Gedanken bezüglich der potentiellen Threats machen kann.

Anonym, Versicherungsdienstleister

Wir müssen uns alle an die aktuelle Situation gewöhnen. Insofern war heute alles cool! Vielen Dank
(Hinweis: Erster Workshop beim Corona-Start)

Anonym, Versicherungsbranche

Angenehm aufbereitet. Vor allem die praktischen Beispiele helfen immer enorm!

Anonym, Versicherungsdienstleister

Viele Übungen; einiges an Input, aber durch den Praxisbezug sehr verständlich! Nicht nur firmenbezogenen, sondern auch für die private Anwendung interessant

Anonym, IT-Beratungsbranche

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag Agile Threat Modeling erschien zuerst auf PagelShield.

]]>
Security Awareness Training https://pagel.pro/security-awareness-training/ Tue, 26 Jan 2021 15:36:41 +0000 https://pagel.pro/?p=1078 Security Awareness Training

Der Beitrag Security Awareness Training erschien zuerst auf PagelShield.

]]>
DevSecOps Workshop

Übersicht

Anhand des DevSecOps Maturity Models (dsomm.timo-pagel.de), konzipiert durch den Referenten, werden unterschiedliche Dimensionen von Sicherheit in DevOps erläutert.

Die Vermittlung des Inhalts wird durch HandsOn Aufgaben unterstützt, welche ausschließlich anhand von OpenSource Werkzeugen erfolgt.

Inhalte

  • Auffrischung DevOps
  • Bedrohungen bei einer Build- und Deployment Pipeline
  • Maßnahmen zur Härtung einer Build- und Deployment Pipeline
  • Docker-Sicherheit inkl. Patch-Management
  • Automation von dynamischen und statischen Sicherheits-Tests
  • Logging und Monitoring in einer DevOps-Welt
  • Optional: Continuous License Scanning

Als Orientierung dient das OWASP DevSecOps Maturity Model mit den Dimensionen

Build and Deployment

Culture

Information Gathering

Infrastructure Hardening

Test and Verification

Zielgruppe

Informations- und IT-Sicherheits-Verantwortliche und DevOps Engineers.

Ausschnitte von Werkzeugen:

  • Docker
  • Distroless
  • OWASP ZAP
  • OWASP Dependency Check
  • Automation
  • Jenkins
  • Arachni
  • nmap
  • Distroless

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

+ Sehr guter Anteil konkreter Übungen!
+ Wichtige Bereiche wurden immer mit der „Übersichtskarte“ gezeigt.
+ Guter Rundumblick

Anonym, IT-Beratungsbranche

Schönes Beispiel aus der Praxis von docker12321 🙂

Anonym, Versicherungsbranche

interaktiver Ansatz gefällt mir gut!

Anonym, Versicherungsbranche

Beispielseiten wie die „Check Security Header“ gefallen mir sehr gut.

Anonym, Versicherungsbranche

Sehr gute Idee, dass einem Zeit gelassen wird die praktischen Aufgaben direkt zu machen und gewartet wird, dass wirklich alle fertig sind (indem alle die Hand heben). Gut waren auch die Anzahl an Übungen und die erklären dazu was denn genau passiert. Auch die Themen der Übungen wurden gut gewählt, sodass man versteht, was die Tools machen und wie sie funktionieren

Anonym, Versicherungsbranche

Gute Übungen, die einen sinnvollen Lerneffekt hatten

Anonym, Versicherungsbranche

Sehr angenehme Einführung in das Thema des Threads Modelling, sodass man sich schon selbst Gedanken bezüglich der potentiellen Threats machen kann.

Anonym, Versicherungsdienstleister

Wir müssen uns alle an die aktuelle Situation gewöhnen. Insofern war heute alles cool! Vielen Dank
(Hinweis: Erster Workshop beim Corona-Start)

Anonym, Versicherungsbranche

Angenehm aufbereitet. Vor allem die praktischen Beispiele helfen immer enorm!

Anonym, Versicherungsdienstleister

Viele Übungen; einiges an Input, aber durch den Praxisbezug sehr verständlich! Nicht nur firmenbezogenen, sondern auch für die private Anwendung interessant

Anonym, IT-Beratungsbranche

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag Security Awareness Training erschien zuerst auf PagelShield.

]]>
Threat Modeling https://pagel.pro/threat-modeling/ Tue, 26 Jan 2021 15:01:39 +0000 https://pagel.pro/?p=1043 Durchführung einer strukturierten Analyse zur Identifizierung von Bedrohungen in IT-Systemen.

Der Beitrag Threat Modeling erschien zuerst auf PagelShield.

]]>
Agile Threat Modeling

Übersicht

Ca. 50% der Bedrohungen in einem System fallen auf Architektur und Design, entsprechend sollten Unternehmen an dieser Stelle proaktiv handeln.

Threat Modeling bezeichnet eine methodische Herangehensweise die anhand von Angriffsszenarien Bedrohungen im Systemdesign aufzeigt die zu Real-Life-Konsequenzen für das System bzw. Business führen.

Unter dem Druck digitaler Transformation ist die Versuchung für Geschäftsverantwortliche/Produktowner groß, fortlaufend fachliche Features zu liefern.

Security ist allerdings ebenfalls ein dauerhaft gefordertes Feature und Qualitätsziel, dass Kunden erwarten und verdienen.

Im Workshop wird der Teilnehmer anschaulich und nachvollziehbar mit einem Mix aus Theorie und praktischen Übungen anhand von Show Cases in die Herangehensweise nach der bewährten STRIDE-Methode eingeführt.

Der Workshop schließt ab indem die Teilnehmer kennenlernen wie man durch spielerische Elemente in Form eines Kartenspiels Threat Modeling auch für Mitarbeiter, die nicht so Security-affin sind, attraktiv gestalten kann.

Inhalte

  • Kennenlernen Secure Design Prinzipien
  • Teilnehmer eignen sich theoretisches Grundlagenwissen und darauf aufbauendes Methodenwissen an, um eine Risiko-Bewertung von (Web-)Systemen durchzuführen
  • Threat Modeling als Methode um Designschwachstellen zu entdecken
  • Bewusstsein schaffen für hohe Kosten und Aufwand zur Behebung von Design-Schwachstellen
  • Kennenlernen von Gamification Elementen
  • Tipps und Tricks für Anwendung von Threat Modeling in der Praxis

Zielgruppe

Entwickler, Architekten und DevOps Engineers, aber auch Produktverantwortliche und IT-Sicherheits-Architekten mit Grundverständnis von IT-Architekturen.

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag Threat Modeling erschien zuerst auf PagelShield.

]]>
WordPress Security https://pagel.pro/wordpress-security/ Tue, 26 Jan 2021 14:49:53 +0000 https://pagel.pro/?p=1022 WordPress ist das beliebteste Blog-System auf dem heutigen Markt. Angreifer wissen das auch, weshalb immer mehr automatisierte Angriffe gegen WordPress gefahren werden.

Der Beitrag WordPress Security erschien zuerst auf PagelShield.

]]>
WordPress Security Workshop

Übersicht

WordPress ist das beliebteste Blog-System auf dem heutigen Markt. Angreifer wissen das auch, weshalb immer mehr automatisierte Angriffe gegen WordPress gefahren werden. In diesem Workshop wird Ihnen aufgezeigt, welche Angriffe existieren und welche Gegenmaßnahmen Sie treffen können.

Inhalte

  • Kennenlernen der Konzepte von WordPress
  • Kennenlernen von Angriffen und Gegenmaßnahmen beim Betrieb von WordPress
  • Patch-Mangement von WordPress und Plugins
  • Sichere Entwicklung von WordPress Plugins

Zielgruppe

Administratoren mit Kenntnissen in der Administration von WordPress und Basis-Kenntnissen in PHP sind in diesem Workshop sehr gut aufgehoben.

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

+ Sehr guter Anteil konkreter Übungen!
+ Wichtige Bereiche wurden immer mit der „Übersichtskarte“ gezeigt.
+ Guter Rundumblick

Anonym, IT-Beratungsbranche

Schönes Beispiel aus der Praxis von docker12321 🙂

Anonym, Versicherungsbranche

interaktiver Ansatz gefällt mir gut!

Anonym, Versicherungsbranche

Beispielseiten wie die „Check Security Header“ gefallen mir sehr gut.

Anonym, Versicherungsbranche

Sehr gute Idee, dass einem Zeit gelassen wird die praktischen Aufgaben direkt zu machen und gewartet wird, dass wirklich alle fertig sind (indem alle die Hand heben). Gut waren auch die Anzahl an Übungen und die erklären dazu was denn genau passiert. Auch die Themen der Übungen wurden gut gewählt, sodass man versteht, was die Tools machen und wie sie funktionieren

Anonym, Versicherungsbranche

Gute Übungen, die einen sinnvollen Lerneffekt hatten

Anonym, Versicherungsbranche

Sehr angenehme Einführung in das Thema des Threads Modelling, sodass man sich schon selbst Gedanken bezüglich der potentiellen Threats machen kann.

Anonym, Versicherungsdienstleister

Wir müssen uns alle an die aktuelle Situation gewöhnen. Insofern war heute alles cool! Vielen Dank
(Hinweis: Erster Workshop beim Corona-Start)

Anonym, Versicherungsbranche

Angenehm aufbereitet. Vor allem die praktischen Beispiele helfen immer enorm!

Anonym, Versicherungsdienstleister

Viele Übungen; einiges an Input, aber durch den Praxisbezug sehr verständlich! Nicht nur firmenbezogenen, sondern auch für die private Anwendung interessant

Anonym, IT-Beratungsbranche

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag WordPress Security erschien zuerst auf PagelShield.

]]>
Security Check https://pagel.pro/security-check/ Tue, 26 Jan 2021 14:48:12 +0000 https://pagel.pro/?p=1018 Schneller Sicherheitscheck von Webanwendungen, um Bedrohungen in laufenden Anwendungen und häufige Fehlerquellen zu identifizieren.

Der Beitrag Security Check erschien zuerst auf PagelShield.

]]>
DevSecOps Workshop

Übersicht

Anhand des DevSecOps Maturity Models (dsomm.timo-pagel.de), konzipiert durch den Referenten, werden unterschiedliche Dimensionen von Sicherheit in DevOps erläutert.

Die Vermittlung des Inhalts wird durch HandsOn Aufgaben unterstützt, welche ausschließlich anhand von OpenSource Werkzeugen erfolgt.

Inhalte

  • Auffrischung DevOps
  • Bedrohungen bei einer Build- und Deployment Pipeline
  • Maßnahmen zur Härtung einer Build- und Deployment Pipeline
  • Docker-Sicherheit inkl. Patch-Management
  • Automation von dynamischen und statischen Sicherheits-Tests
  • Logging und Monitoring in einer DevOps-Welt
  • Optional: Continuous License Scanning

Als Orientierung dient das OWASP DevSecOps Maturity Model mit den Dimensionen

Build and Deployment

Culture

Information Gathering

Infrastructure Hardening

Test and Verification

Zielgruppe

Informations- und IT-Sicherheits-Verantwortliche und DevOps Engineers.

Ausschnitte von Werkzeugen:

  • Docker
  • Distroless
  • OWASP ZAP
  • OWASP Dependency Check
  • Automation
  • Jenkins
  • Arachni
  • nmap
  • Distroless

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag Security Check erschien zuerst auf PagelShield.

]]>
DevSecOps-Assessment https://pagel.pro/devsecops-assessment/ Tue, 26 Jan 2021 14:45:22 +0000 https://pagel.pro/?p=1016 Bewertung des aktuellen DevOps-Sicherheitsstatus, Planung von Aktivitäten und Überprüfung der Wirksamkeit.

Der Beitrag DevSecOps-Assessment erschien zuerst auf PagelShield.

]]>
DevSecOps Assessment

Übersicht

Analyse vom aktuellem Stand der Sicherheits-Praktiken und
Aufbau eines Sicherheits-Programms in Iterationen

Eigenverantwortlich und effizient auf Bedrohungen reagieren

Als Orientierung dient das OWASP DevSecOps Maturity Model mit den Dimensionen

Build and Deployment

Culture

Information Gathering

Infrastructure Hardening

Test and Verification

Zielgruppe

Informations- und IT-Sicherheits-Verantwortliche und DevOps Engineers.

Ergebnisse

  • Evaluierung vom Sicherheits-Stand der Squads
  • Priorisierte Liste an nächsten Aktivitäten

Durch Interviews werden Herausforderungen bezüglich Sicherheit beziehungsweise der Sicherheits-Kultur identifiziert.

Methodik

Learning by doing is one of the most important paradigms. More about the training methodology here.

Trainer

Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.

Kostenloses Erstgespräch vereinbaren

Timo Pagel

Kontakt

Der Beitrag DevSecOps-Assessment erschien zuerst auf PagelShield.

]]>