Zurück

LLM-gestützte Code Reviews und Schwachstellensuche: Wirksamkeit und Grenzen

Während traditionelle SAST-Scanner bekannte Patterns, Datenflussrichtungen und Standardfehler gut erkennen, scheitern sie häufig an Business-Logic-Schwachstellen, fehlerhaften Autorisierungen, komplexen Workflows oder mehrstufigen Angriffspfaden.

Im Rahmen unseres Forschungsvorhabens untersuche ich, wie LLMs als intelligenter Code-Review-Assistent eingesetzt werden können, um genau diese Lücke zu schließen. Ziel ist es, die Stärken und Schwächen dieses Vorgehens aufzuzeigen.

In diesem Vortrag zeige ich anhand realer Forschung und Prototypen, wie Large Language Models als Security Code Review Assistent eingesetzt werden können – direkt im Code Editor oder in CI/CD-Pipelines.

Vorkenntnisse

Software-Entwicklungserfahrung, Grundlagen der Anwendungssicherheit, Erfahrung in der Benutzung von LLMs.

Lernziele

Entwickler lernen, eigene Vorgehensweisen mit LLMs zu entwickeln, um Schwachstellen zu erkennen – auch dort, wo klassische Scanner scheitern. Sie bringen die ihnen bekannten fachliche Zusammenhänge in Codebasen mit ein, machen Attack Surfaces sichtbar und setzen LLMs gezielt für Security Reviews ein. Zudem wird gezeigt, wie sicherheitsrelevante Bereiche der Codebase markiert und die Qualität von Prompts gezielt verbessert werden kann.

Speaker

Johannes Bär Johannes Bär arbeitet bei der condignum GmbH als Team Lead des Teams Professional Services, welches für die Durchführung von Penetration Tests und Angreifersimulationen zuständig ist. Außerdem führt das Team Evaluationen neuer IT-Securitylösungen durch und hilft Kunden dabei, deren Tauglichkeit gegen realistische Bedrohungen zu bewerten und ggf. bei der sicheren Konfiguration solcher Lösungen.