IT Security

Statische Analysewerkzeuge für mehr Code Security

: Keine IT Security ohne Code Security. Wie uns statische Analysetools zu mehr Codesicherheit verhelfen.

Für die Prüfung der IT Security auf Code-Ebene werden immer häufiger statische Analysewerkzeuge verwendet. In einigen Unternehmen sind sie sogar in die Build-Pipeline integriert und Teil der offiziellen Tests. Zusätzlich werden solche Werkzeuge für mehr Code Security auch innerhalb der integrierten Entwicklungsumgebung als Baustein des Workflows eingesetzt.

Und obwohl die aktuelle Forschung zum Thema zeigt, dass die neuen Technologien für mehr Code Security sehr präzise sind, bleiben sie aufgrund der hohen Anzahl falscher Sicherheitswarnungen eine Herausforderung für Softwareentwickler. Denn die Häufigkeit falschen Alarms wirkt sich deutlich auf die Nutzbarkeit dieser Werkzeuge aus.

Dieser Vortrag von Goran Piskachev untersucht die Gründe für diese falschen Warnungen, wobei er den Schwerpunkt auf die Konfiguration der Werkzeuge legt. Dabei werden zwei Aspekte behandelt:

  • Erstens die richtige Wahl der so genannten sicherheitsrelevanten Methoden – als da wären Quellen, Senken und Sanitizer. Goran erklärt uns, wie wir die Erkennung dieser Methoden aus der Codebasis automatisieren können.
  • Der zweite Aspekt sind die Regeln für die Analysen, die über domain-spezifische Sprachen konfiguriert werden können. Hier gibt uns Goran einen Überblick über solche Sprachen.

Zum Speaker: Goran Piskachev ist wissenschaftlicher Mitarbeiter am Fraunhofer IEM in Paderborn. Als Experte für IT-Sicherheit und Code Security befasst er sich mit statischer Codeanalyse, Java/Android Security, Machine Learning für die Codeanalyse und Fragen der Nutzerfreundlichkeit von IT Security insgesamt. Sein Blog gibt Einblicke in seine Arbeit.

Über das IT Security Meetup Kassel: Das IT-Security Meetup Kassel ist ein Netzwerk von Experten und Interessierten zum Thema IT-Sicherheit. Eingeladen sind alle, die sich beruflich oder aus persönlichem Interesse mit Fragen der IT-Sicherheit auseinandersetzen und in einen fachlichen Austausch mit Gleichgesinnten treten wollen.

+++++

Im  Kontext von IT Security ebenso empfehlenswert: unser Blogbeitrag zum Thema Metasploit. Und in Sachen Code Security auch unser Tech Talk Basic Web Security.

Matthias Altmann

IT-Security Experte