Allianz Direct ist ein Online Versicherer mit dem Ziel „digitally unbeatable“ zu werden. IT Security hat daher höchste Priorität für uns. Durch unseren starken Fokus auf Cloud-native und Open Source Technologien mussten wir eine scheinbar unüberwindbare Menge an Supply Chain Schwachstellen bewältigen. In diesem Vortrag beschreibe ich unseren Ansatz, um diese Schwachstellen zu reduzieren und dabei mit Entwicklerteams gemeinsam an Lösungen zu arbeiten – ganz im Sinne von DevSecOps. Kernpunkte dieses Vortrages:
- Vorteile von Cloud-native Technologien und SRE Prinzipien für Security
- Automatisierte Schwachstellen Priorisierung, nicht anhand von CVSS, sondern dem realen Risiko der Schwachstelle
- Unsere Erfahrungen im Umgang mit Log4Shell