Fast täglich liest man von Sicherheitsproblemen in(Web-)Anwendungen, zum Teil mit verheerenden Auswirkungen für Firmen undVerbraucher. Zum Schutz sensibler Daten müssen wir in der Entwicklung und imBetrieb stets sicherstellen, dass wir auf bekannte Schwachstellen reagieren undSysteme und Software auf dem aktuellsten Stand halten können.

Um möglichst schnelles Feedback über aktuelle Probleme zubekommen, empfiehlt es sich, automatisiert nach bekannten Schwachstellen zusuchen. Hierzu bietet sich die Erweiterung bestehenderContinuous-Integration-Pipelines an.

Im Vortrag mit Live-Demo werden mehrereOpen-Source-Frameworks vorgestellt, mit deren Hilfe man automatisiertSchwachstellen in (Java-)Dependencies, Container-Images und Webapplikationenfinden kann. Hierzu werden OWASP Dependency-Check, CoreOS Clair und OWASPZAProxy genutzt.