Statische Programmanalyse, Entwickler und Security-Teams: It’s… complicated

Im Schatten wachsender Anwendungsbereiche für Machine Learning (ML) gehen nicht selten spannende Szenarien unter – wie beispielsweise die statische Codeanalyse in der Softwareentwicklung. Gerade ihr Potenzial für den Security-Bereich wird häufig unterschätzt. Das mag auch daran liegen, dass Entwicklerinnen und Entwickler das Security-Tooling eher als lästiges Beiwerk empfinden und dafür wenig Enthusiasmus an den Tag legen.

Zudem musste die Dev-Community immer wieder die Erfahrung machen, dass entsprechende Analysen teils Wochen dauern und die Ergebnisse obendrein gespickt sind mit Falschmeldungen. Sauberes Einbinden in den Development-Prozess erscheint daher schlicht unmöglich. Dennoch wird von Entwicklerteams erwartet, diese Tools in ihrem Stack einzusetzen.

Ist hier ein Breaking Point erreicht? Wie lässt sich mit diesem Dilemma umgehen, um doch noch zu einer für alle Beteiligten zufriedenstellenden Lösung zu kommen?

Hier kommt Machine Learning wieder ins Spiel. Der Vortrag will erklären, inwieweit sich die beschriebenen Probleme bei der statischen Programmanalyse mit ML auflösen lassen. Eines sei vorweggenommen: Einfach nur bestehende Modelle mit Quellcode zu füttern, reicht nicht aus.

Anhand verschiedener Demos und konkreter Tipps zeigt der Referent, welche Kriterien bei der Tool-Auswahl für statische Programmanalyse und ein Framework allgemein wichtig sind, damit die Methodik als Bereicherung wirkt, und Entwicklerinnen und Entwickler sie auch noch gern einsetzen.

Vorkenntnisse

Kenntnisse in und Interesse an Entwickler-Motivation und -Produktivität

Lernziele

• Verständnis rund um Möglichkeiten und Unmöglichkeiten statischer Programmanalyse, aktuell und in Zukunft
  
• Einbindung statischer Analysen in den DevSecOps-Prozess und Verknüpfung von Developer-Motivation und -Produktivität mit Security-Zielen