DOAG Deutsche ORACLE-Anwendergruppe e.V.
 
   
23.04.2013
09:00 - 17:00 Uhr

SIG Security

Ort: Eurostars Book Hotel, Raum "Shakespeare", Schwanthalerstr. 44, 80336 München
Kontakt:

Mit dieser Veranstaltung möchten wir Entwickler und Administratoren ansprechen.

Sicherheit in der Softwareentwicklung beginnt mit der Entwicklung von sicherem Programm Code. Wie man existierenden Code nachträglich auf Sicherheitslücken überprüfen (und verbessern) kann, ist eines der Themen. Ein weiterer Vortrag befasst sich mit der sicheren Entwicklung von APEX-Anwendungen. Über die Datenbank-Produkte aus dem Hause Oracle erfahren Sie in zwei Vorträgen welche Möglichkeiten zum einen die bestehenden Datenbankversionen bieten und zum zweiten was mit der "latest Generation of Database Technology" an Änderungen und Neuigkeiten zu erwarten ist. Schließlich geht es bei der Frage: "CPU - und wie gehe ich damit um?" darum, dem DBA Argumente und Hilfe zu geben, wenn er vor der Entscheidung steht, einen CPU einzuspielen oder nicht.

Wir freuen uns auf Ihr Kommen!


Franz Hüll & Tilo Metzger

Agenda
09:00 Registrierung
09:30 Begrüßung Franz Hüll, DOAG e.V.
09:45 Sicherheitslücken aufdecken mittels Code Review

→ Details

Circa 80% aller Schwachstellen sind das Ergebnis einer schlechten Programmierpraxis und nicht durchdachten Sicherheitskonzepten bei der Software-Entwicklung.  In einem typischen Software Development Lifecycle, erstellen Entwickler zehntausende Codezeilen unter enormen Zeitdruck. Das Ergebnis ist, dass die Mehrheit von Anwendungen viele Sicherheitsschwachstellen aufweist.

Viele, aber nicht alle, diese Schwachstellen können mittels Code Review entdeckt und korrigiert werden. Dieser Vortrag präsentiert Code Review aus der Sicherheitsperspektive und erläutert wie ein Review durchgeführt und bewertet wird.  Zentrale Themen sind die Vor- und Nachteile der dynamischen und statischen Codeanalyse, False Positive/False Negative, Datenflussanalyse und Mustererkennung.  Auch die praktische Umsetzung mit modernen Werkzeugen wird besprochen.  Der Vortrag wird mit praktischen Beispielen von Cross-Site-Scripting, SQL-Injection, Path Traversal und mehr untermauert.

Dr. Bruce J. Sams, OPTIMAbit GmbH
10:45   Kaffeepause
11:15 Transparent Data Encryption und Database Vault für hosting fähige Datenbanken mit sicherheitssensiblen Daten

→ Details

Transparent Data Encryption und Database Vault für hosting fähige Datenbanken mit sicherheitssensiblen Daten Das Thema Hosting wird für immer mehr Oracle Anwender attraktiv.

Gleichzeitig erhöht sich jedoch der Druck, ausgelagerte Daten wirksam zu schützen. Die gezielte Kombination aus Transparent Data Encryption und Database Vault schützt die eigenen Daten vor unkontrollierten Zugriffen durch externe System- und Datenbankadministratoren. So können selbst sensible Datenbanken vom Hosting profitieren.

Heinz-Wilhelm Fabry, ORACLE Deutschland B.V. & Co. KG
12:15   Mittagspause
13:15 APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung

→ Details

Mit Application Express (APEX), der Entwicklungsumgebung für datenbankgestützte Web-Anwendungen
in der Oracle-Datenbank, können Web-Anwendungen sehr schnell bereitgestellt werden. Natürlich spielt
das Thema Sicherheit auch in APEX-Anwendungen eine Rolle.

Im Vortrag wird gezeigt, welche Einstellungen und Funktionen in APEX für die Sicherheit des
Datenbankservers und der darauf laufenden Anwendungen relevant sind und gibt Tipps zu deren
Einsatz in der Praxis.

Carsten Czarski, ORACLE Deutschland B.V. & Co. KG
14:15   Kaffeepause
14:45 Critical Patch Update: Wie kritisch ist es wirklich ?

→ Details

"CPU, SPU, Riskmatrix und Co"

Der Fokus des Vortrages liegt auf der Interpretation der Riskmatrix. Die ist nämlich immer dabei, wenn Oracle einen CPU herausgibt. Wer sie richtig interpretiert, kann schon gut einschätzen, ob das Security Patch Update installiert werden sollte. Auf den aktuellen CPU von April 2013 wird ebenso eingegangen wie auf ein paar allgemeine Themen wie zum Beispiel "Übersicht über die Patcharten" oder Dinge, die man bei der Installation von Security Patch Updates beachten sollte.

Katja Werner, Opitz Consulting GmbH
15:45 A sneak preview on Security with the latest Generation of Database Technology (Vortrag auf deutsch)

→ Details

In der neuesten Generation der Oracle Database sind mehrere Neuerungen und Verbesserungen im Bereich Datenbank Sicherheit geplant. Neben bekannten Features wie Audit, Database Vault, Verschlüsselung werden auch interessante Neuerungen mit dabei sein. Anhand von kurzen Beispielen in diesem Vortrag wird ein erster Eindruck vermittelt.

Stefan Oehrli, Trivadis AG
16:45 Zusammenfassung und Verabschiedung
17:00 Ende der Veranstaltung