mgm security partners - Talk auf dem IT Security Summit am 16.6.24

Talk »LLM @ Quellcodeanalyse«

Was leisten LLMs bei der Statischen Codeanalyse auf Sicherheit?

Siehe auch

Der ganze Vortrag - Zum Abspielen klicken.

Über den Talk

Die Flut an Ergebnissen aus automatischen, werkzeuggestützten Security-Quellcodeanalysen kann Software-Projekte leicht überfordern: oft fehlen die Spezialist:innen zur korrekten Einordnung oder wirklich relevante Beobachtungen gehen in der Menge so genannter „False Positives“ unter. Was wäre, wenn hierbei moderne große Sprachmodelle (LLMs) - mit ihren oft beeindruckenden Programmierfähigkeiten - unterstützen könnten?

In empirischen Untersuchungen haben wir uns, unter Verwendung tausender Werkzeugergebnisse, mit dieser Fragestellung beschäftigt, verschiedene Modelle verglichen und die Ergebnisse ausgewertet: Welche Qualität kann man bei welchen Typen von Findings erwarten? Was muss alles im Kontext geleifert werden? Wie schneiden Open-Source Modelle gegenüber den großen proprietären Modellen ab? Wie wirken sich bestimmte Prompt-Anpassungen aus?

Im Vortrag stellen wir unsere Erkenntnisse vor und geben Entwickler:innen, Architekt:innen und anderen Stakeholdern der Softwareentwicklung, die für ihr Projekt ähnliche Wege beschreiten möchten, nützliche Informationen über das Thema mit auf den Weg.

Zeit und Ort

Berlin, Dienstag, 18. Juni 2024 - 14:15 - 15:00

Mirko Richter

Mirko Richter ist Software-Security Berater, Sourcecode-Analyse-Spezialist und Schulungsleiter für Grundlagenschulungen bis hin zu Advanced-Coding- und Secure-SDLC-Trainings. Er beschäftigt sich seit Mitte der 90er-Jahre mit Softwareentwicklung, -architektur und -sicherheit. Er ist Sprecher auf Konferenzen und Autor mehrerer Fachartikel.

Application Security und Secure Coding

LAS - Lean Application Security

Ein erprobtes Konzept für inhärent sichere Anwendungen und Systeme durch frühzeitige Einbindung von Sicherheit in den Softwareentwicklungsprozess.

ATLAS - Security Testing Platform

mgm ATLAS ist die effiziente Integration von automatisierten Tests in Entwicklungsprozesse. Es ergänzt unseren Lean Application Security Ansatz optimal um eine schlanke und skalierbare Testplattform.