OSS-Bibliotheken bewerten mit statischer Codeanalyse

In modernen Projekten beträgt der Anteil an OSS-Bibliotheken häufig bis zu 90% der Codebasis. Effektive Codeanalysewerkzeuge dürfen sich daher nicht nur auf das Projekt fokussieren, sondern müssen auch Schwachstellen in genutzten Bibliotheken finden. Bereits während ihrer Einbindung müssen Bibliotheken daher auf Schwachstellen überprüft werden.

Der Vortrag zeigt, wie aktuelle Forschung im Bereich der statischen Codeanalyse genutzt werden kann, um die Sicherheit von OSS-Bibliotheken zu bewerten.

Vorkenntnisse

* Die Zuhörer/innen des Vortrags sollten grundlegende Kenntnisse im Bereich der Softwareentwicklung besitzen. * Hauptthema des Vortrags sind statische Analysen für die Programmiersprache Java, daher sollten die Besucher mit der Syntax und Semantik von Java vertraut sein.
* Grundlegende Kenntnisse im Bereich der IT-Sicherheit hilfreich.

Lernziele

* Die Zuhörer/innen werden grundlegende und aktuelle Techniken der statischen Codeanalyse erlernen und verstehen, wie diese helfen können Schwachstellen automatisiert im Softwarecode aufzudecken.
* Es wird erörtert, welche Herausforderung bei der statischen Codeanalyse von OSS-Bibliotheken auftreten.

 

Speaker

 

Joahnnes Späth
Joahnnes Späth ist Seniorexperte am Fraunhofer IEM. Er forscht an statischen Codeanalysen und hat im Januar 2019 seine Promotion abgeschlossen. In seiner Dissertation entwickelte er effiziente und präzise statische Codeanalyse-Algorithmen, die im Werkzeug CogniCrypt genutzt werden um Fehlbenutzungen von kryptographischen Bibliotheken aufzudecken.

Andreas Dann
Andreas Dann ist wissenschaftlicher Mitarbeiter in der Fachgruppe Softwaretechnik der Universität Paderborn. Er forscht im Bereich der statischen Codeanalyse an Methoden und Werkzeugen, um die Integration schwachstellenbehafteter Open-Source Komponenten frühzeitig zu erkennen und deren Risiken abzuschätzen.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsoren

COTECH
RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden