Wie Generative KI dabei helfen kann, SAST wieder zu neuem Glanz zu verhelfen
LLMs in der Quellcodeanalyse
Die statische Quellcodeanalyse (SAST) ist ein essenzieller Bestandteil der modernen Softwareentwicklung, um Sicherheitslücken frühzeitig zu erkennen. Doch False Positives und mangelnde Präzision schränken ihre Effektivität ein. In diesem Artikel zeigen wir, wie Large Language Modelle (LLMs) diese Herausforderungen meistern und die SAST-Analyse auf ein neues Level heben.
Die Herausforderungen der SAST-Analyse: SAST-Tools sind unverzichtbar, um potenzielle Schwachstellen im Quellcode zu identifizieren. Sie führen jedoch auch zu einem erhöhten Arbeitsaufwand bei der Identifikation von Fals Positives und somit zur Frustration bei Entwicklern und senken die Akzeptanz dieser Werkzeuge. Zudem besteht die Gefahr, dass relevante Prüfungen deaktiviert werden, was die Sicherheit gefährdet.
Die Lösung: KI und SAST im Tandem.
Die Kombination von SAST-Scannern und LLMs bietet eine vielversprechende Lösung:
SAST-Scanner identifizieren potenzielle Schwachstellen und liefern detaillierte Informationen.
LLMs bewerten diese Findings und filtern False Positives heraus.
Durch diesen zweistufigen Ansatz wird die Präzision der Analyse erheblich gesteigert, während die Breite der initialen SAST-Prüfung erhalten bleibt.
Praxisbeispiel: Erfolgreiche Tests in realen Projekten.
In einer Studie mit über 5.000 Findings aus Projekten wie Mastodon, Matrix Synapse und Keepass zeigten Modelle wie GPT-4 und Codestral beeindruckende Ergebnisse. Die KI-gestützte Bewertung stimmte in vielen Fällen mit manuellen Audits überein, und False Positives wurden um bis zu 99,99 % reduziert.
Vorteile der KI-gestützten SAST-Analyse:
Reduktion von False Positives: Effizientere Nutzung von SAST-Tools.
Priorisierung kritischer Findings: Fokussierte manuelle Reviews.
Erhöhte Akzeptanz: Weniger Frustration bei Entwicklern.
Gesteigerte Sicherheit: Bessere Erkennung und Behebung von Schwachstellen.
Fazit: Large Language Modelle haben das Potenzial, die statische Quellcodeanalyse zu revolutionieren. Durch die Reduktion von False Positives und die gezielte Priorisierung von Findings wird die Effizienz gesteigert und die Sicherheit von Softwareprojekten erhöht. Die Kombination von SAST und KI ist ein vielversprechender Ansatz für die Zukunft der Softwareentwicklung.
Der Artikel erschien in der Februar Ausgabe 2025 im IT Spektrum von SIGS.DE
*im Abo von sigs.de verfügbar
Autor
Mirko Richter ist Software-Security Berater, Sourcecode-Analyse-Spezialist und Schulungsleiter für Grundlagenschulungen bis hin zu Advanced-Coding- und Secure-SDLC-Trainings. Er beschäftigt sich seit Mitte der 90er-Jahre mit Softwareentwicklung, -architektur und -sicherheit. Er ist Sprecher auf Konferenzen und Autor mehrerer Fachartikel.
Nehmen Sie Kontakt per E-Mail auf, rufen Sie uns an oder nutzen Sie unser Kontaktformular.
Application Security und Secure Coding
LAS - Lean Application Security
Ein erprobtes Konzept für inhärent sichere Anwendungen und Systeme durch frühzeitige Einbindung von Sicherheit in den Softwareentwicklungsprozess.
ATLAS - Security Testing Platform
mgm ATLAS ist die effiziente Integration von automatisierten Tests in Entwicklungsprozesse. Es ergänzt unseren Lean Application Security Ansatz optimal um eine schlanke und skalierbare Testplattform.
