Automatisierte Codescans im Sinne statischer Programmanalysen sind ein wichtiges Werkzeug, um gängige Schwachstellen früh im Entwicklungsprozess zu vermeiden. Dennoch sind Codescanner oft als ungenau verschrien und sind schwer zu nutzen und anzupassen.
Zunächst wird allgemein erklärt, wozu statische Codescanner nützlich sind und wie sie funktionieren. Danach werden brandaktuelle Forschungsprototypen von Codescannern vorgestellt, die wir gerade zur Marktreife entwickeln. Ich erkläre, wie wir es schaffen, dass die in diesen Werkzeugen genutzten Algorithmen präzisere Ergebnisse effizienter liefern als zuvor, wie sich die Werkzeuge in gängige IDEs integrieren und wie neuartige Bedienkonzepte (Graphvisualisierungen, "Live Debugging" von Analysen) es Entwicklern einfacher machen, Scan-Ergebnisse zu verstehen und Analysen bedarfsgerecht anzupassen.
Vorkenntnisse
Generelles Konzept des Codescanning bzw. der statischen Codeanalyse aus Nutzersicht sind hilfreich, aber nicht erforderlich. Ein Verständnis der zugrunde liegenden Algorithmik wird nicht vorausgesetzt, sondern soll – in groben Zügen – im Rahmen des Vortrags erarbeitet werden.
Lernziele
* Teilnehmer werden die grundlegende Funktionalität von Codescannern kennen lernen.
* Auf Basis von uns durchgeführter Umfragen erlernen sie, welche Probleme andere Entwickler derzeit mit aktuellen Codescannern sehen.
* Sie erhalten einen Überblick darüber, welche groben Klassen von Algorithmen Codescannern zugrunde liegen und welche Vor- und Nachteile diese bieten.
//
Eric Bodden
ist einer der führenden Experten auf dem Gebiet der sicheren Softwareentwicklung, mit einem besonderen Fokus auf der Entwicklung hochpräziser Werkzeuge zur automatischen Programmanalyse. Er ist Professor für Softwaretechnik an der Universität Paderborn und Direktor des Fraunhofer-Instituts für Entwurfstechnik Mechatronik (Fraunhoer IEM).