Talk auf dem IT Security Summit: Was leisten LLMs bei der Statischen Codeanalyse auf Sicherheit?
Über den Talk
Die Flut an Ergebnissen aus automatischen, werkzeuggestützten Security-Quellcodeanalysen kann Software-Projekte leicht überfordern: oft fehlen die Spezialist:innen zur korrekten Einordnung oder wirklich relevante Beobachtungen gehen in der Menge so genannter „False Positives“ unter. Was wäre, wenn hierbei moderne große Sprachmodelle (LLMs) mit ihren oft beeindruckenden Programmierfähigkeiten unterstützen könnten?
In empirischen Untersuchungen haben wir uns, unter Verwendung tausender Werkzeugergebnisse, mit dieser Fragestellung beschäftigt, verschiedene Modelle verglichen und die Ergebnisse ausgewertet: Welche Qualität kann man bei welchen Typen von Findings erwarten? Was muss alles im Kontext geleifert werden? Wie schneiden Open-Source Modelle gegenüber den großen proprietären Modellen ab? Wie wirken sich bestimmte Prompt-Anpassungen aus?
Im Vortrag stellen wir unsere Erkenntnisse vor und geben Entwickler:innen, Architekt:innen und anderen Stakeholdern der Softwareentwicklung, die für ihr Projekt ähnliche Wege beschreiten möchten, nützliche Informationen über das Thema mit auf den Weg.
Berlin, Dienstag, 18. Juni 2024 – 14:15 – 15:00
