Version 2.1_second_flush

Workshop: Common Security Advisory Framework (CSAF) in der Praxis

CSAF und security.txt werden die Kommunikation zu Security in den kommenden Jahren prägen

In diesem Workshop erstellen wir eine security.txt nach der Spezifikation 9116 und ein CSAF File.

Der Notfallkontakt security.txt nach RFC 9116 beschreibt, wem Schwachstellen gemeldet werden sollen und wie die Kommunikation genau ablaufen soll.
Das Erstellen der security.txt dauert nur 5 Minuten, aber der Nutzen ist sehr groß. So kommt es, dass sich diese kleine Datei wachsender Beliebtheit erfreut und auf immer mehr Webseiten unter https://www.example.com/.well-known/security.txt ein Kontakt bereits hinterlegt ist.
In der security.txt kann zusätzlich auf die Datenbank der eigenen Handlungsempfehlungen mit dem Common Security Advisory Framework (CSAF) zu CVE verlinkt werden.
User und Entwickler pflegen ihrerseits eine Softwareliste mit allen Bibliotheken (SBOM - Software Bill of Materials) und praktische Tools holen sich automatisch die neuesten Handlungsempfehlungen.
Nun ist es entscheidend, dass Softwareprojekte CSAF möglichst schnell und standardkonform unterstützen.
Das wirkt zunächst wesentlich komplizierter als es ist. Daher zeigen wir im Workshop live, wie eine security.txt und eine Handlungsempfehlung im CSAF Format erstellt werden und welche Tools es dazu gibt.
Wer ein Notebook mit Browser dabei hat, kann live mitmachen und eigene Dateien anlegen. Eine Teilnahme ohne Notebook ist aber auch möglich.
Der Workshop findet im Dialog statt, Fragen sind sehr gewünscht. Der Workshop wird nicht aufgezeichnet.