Version 2.1_second_flush
Workshop: Common Security Advisory Framework (CSAF) in der Praxis
CSAF und security.txt werden die Kommunikation zu Security in den kommenden Jahren prägen
In diesem Workshop erstellen wir eine security.txt nach der Spezifikation 9116 und ein CSAF File.
Der Notfallkontakt security.txt nach RFC 9116 beschreibt, wem Schwachstellen gemeldet werden sollen und wie die Kommunikation genau ablaufen soll.
Das Erstellen der security.txt dauert nur 5 Minuten, aber der Nutzen ist sehr groß. So kommt es, dass sich diese kleine Datei wachsender Beliebtheit erfreut und auf immer mehr Webseiten unter https://www.example.com/.well-known/security.txt ein Kontakt bereits hinterlegt ist.
In der security.txt kann zusätzlich auf die Datenbank der eigenen Handlungsempfehlungen mit dem Common Security Advisory Framework (CSAF) zu CVE verlinkt werden.
User und Entwickler pflegen ihrerseits eine Softwareliste mit allen Bibliotheken (SBOM - Software Bill of Materials) und praktische Tools holen sich automatisch die neuesten Handlungsempfehlungen.
Nun ist es entscheidend, dass Softwareprojekte CSAF möglichst schnell und standardkonform unterstützen.
Das wirkt zunächst wesentlich komplizierter als es ist. Daher zeigen wir im Workshop live, wie eine security.txt und eine Handlungsempfehlung im CSAF Format erstellt werden und welche Tools es dazu gibt.
Wer ein Notebook mit Browser dabei hat, kann live mitmachen und eigene Dateien anlegen. Eine Teilnahme ohne Notebook ist aber auch möglich.
Der Workshop findet im Dialog statt, Fragen sind sehr gewünscht. Der Workshop wird nicht aufgezeichnet.
Info
Tag:
17.08.2024
Anfangszeit:
10:00
Dauer:
01:00
Raum:
Workshops (C115)
Track:
SBOM - Lieferkettensicherheit in OSS
Sprache:
de
Links:
- iCalendar
- security.txt: Standardisierte Kontaktinfos für IT-Sicherheitsmeldungen
- Video zur security.txt für Entscheidungsträger (DE)
- Video on security.txt for decision-makers (EN, JP, PL, ZH)
Gleichzeitige Events
ReferentInnen
Jonas.Stein@dguv.de | |
Matthias Weitz |