Dieser Vortrag wurde zum 39C3 eingereicht und abgelehnt. Ich möchte einige Open-Source-Frameworks für verschiedene Programmiersprachen vorstellen, mit denen sich Architekturregeln pro Projekt oder Organisation festlegen und mithilfe gängiger Testinfrastrukturen durchsetzen lassen.

Die Präsentation zu dem Vortrag, den ich dazu eigentlich halten wollte ist hier zu finden.

Solche Frameworks existieren für eine Reihe von Programmiersprachen – beispielsweise Java, .NET und Python. Sie zeichnen sich dadurch aus, dass die durchgesetzten Regeln sehr komplex werden können und sich leicht um neue erweitern lassen. Im Gegensatz dazu bieten herkömmliche SAST-Frameworks ein starres Regelwerk, dessen Anpassung (fast) ausschließlich darin besteht, einzelne Regeln als nicht anwendbar zu deklarieren.

Vortrag und Präsentation zeigen einige praktische Beispiele für benutzerdefinierte Regeln für ArchUnit in Java und meine Best Practices für die Organisation von Konfigurationsdateien, Regelsammlungen und Testfällen. Außerdem diskutiere ich die Vor- und Nachteile des Einfrierens von Code im Vergleich zu Annotationen und ImportOptions zur Feinabstimmung der Regelanwendung.

Ich halte es für wichtig, diese Tools zu haben und sie einzusetzen, um dependency creep im Entwicklungszyklus zu vermeiden und eine saubere Architektur zu gewährleisten – insbesondere im Hinblick auf sichere Software. Bei der Verwendung von Standardlösungen besteht die Gefahr, die eigene Lösung mit Fehlern und CVEs zu infizieren, die diese mitbringen (oder die später entdeckt werden). Wenn Sie Bereiche Ihrer Lösung, in denen Standardkomponenten verwendet werden, von Bereichen trennen können, in denen Sie Ihre eigenen Kernressourcen einsetzen, wird es für Angreifer schwieriger, Ihre Anwendung und – schlimmer noch! – Ihre Kunden und deren Daten zu gefährden, selbst wenn sie die Schwachstellen der Standardlösungen erfolgreich ausnutzen.