LLM-gestützte Code Reviews und Schwachstellensuche: Wirksamkeit und Grenzen

Während traditionelle SAST-Scanner bekannte Patterns, Datenflussrichtungen und Standardfehler gut erkennen, scheitern sie häufig an Business-Logic-Schwachstellen, fehlerhaften Autorisierungen, komplexen Workflows oder mehrstufigen Angriffspfaden.

Im Rahmen unseres Forschungsvorhabens untersuche ich, wie LLMs als intelligente Code-Review-Assistenten eingesetzt werden können, um genau diese Lücke zu schließen. Ziel ist es, die Stärken und Schwächen dieses Vorgehens aufzuzeigen.

In diesem Vortrag zeige ich anhand realer Forschung und Prototypen, wie Large Language Models als Security Code Review Assistent eingesetzt werden können – direkt im Code Editor oder in CI/CD-Pipelines.

Vorkenntnisse

Software-Entwicklungserfahrung, Grundlagen der Anwendungssicherheit, Erfahrung in der Benutzung von LLMs.

Lernziele

Entwickler lernen:

• eigene Vorgehensweisen mit LLMs zu entwickeln, um Schwachstellen zu erkennen – auch dort, wo klassische Scanner scheitern
  
• die ihnen bekannten fachliche Zusammenhänge in Codebasen mit einzubringen
  
• Attack Surfaces sichtbar zu machen
  
• LLMs gezielt für Security Reviews einzusetzen.

Zudem wird gezeigt, wie sicherheitsrelevante Bereiche der Codebase markiert und die Qualität von Prompts gezielt verbessert werden kann.