Talk »Toolgestützte Quellcodeanalysen powered by LLMs«

Über den Talk

Auch, wenn aktuelle Frameworks und Bibliotheken es den Entwicklern immer schwerer machen, (aus Versehen) gravierende Sicherheitsprobleme in ihre Anwendung einzubauen, verliert dieses Thema gemeinhin nichts an Bedeutung - bei vielen Unternehmen ist sogar eher eine entgegengesetzte "Erwartungshaltung" zu beobachten. Mit dem Aufkommen leistungsfähiger KI-Systeme, ausgestattet mit teilweise beeindruckenden Programmierfähigkeiten, entstand folgerichtig auch die Idee, durch diese im Sicherheitsumfeld Abläufe zu verbessern, zu beschleunigen und zu automatisieren.

In dieser Session möchten wir unseren Ansatz vorstellen, wie man klassisch ausgereifte (Closed- und OpenSource) Scan-Software (SAST, SCA...) mit den Fähigkeiten moderner Large-Language-Modelle (LLM) kombinieren kann, um

1.) technologisch bedingt große False-Positive Mengen effektiv in den Griff zu bekommen

2.) das Augenmerk von Anfang an auf die wirklich wichtigen Findings zu richten

3.) Unterstützung beim Verständnis und der Bewertung von Findings zu erhalten

4.) ohne den Fokus zu verlieren, auch auf mehr (spezialisierte) Werkzeuge in Kombination zurückgreifen kann

Für empirische Daten haben wir viele tausende Findings manuell und per LLM ausgewertet und die Ergebnisse verglichen. Darauf basierend beleuchten wir im Vortrag, neben Tipps für eine eigene Umsetzung, auch die (Qualitäts-)Unterschiede bei der Arbeit mit freien und proprietärer LLMs und sprechen über Do's und Don'ts beim Promptin

Zeit und Ort

München oder Online, Mittwoch, 06. November 2024 - 15:15 - 16:15