Statische Programmanalyse, Entwickler und Security-Teams: It’s… complicated

Im Schatten wachsender Anwendungsbereiche für Machine Learning (ML) gehen nicht selten spannende Szenarien unter – wie beispielsweise die statische Codeanalyse in der Softwareentwicklung. Gerade ihr Potenzial für den Security-Bereich wird häufig unterschätzt. Das mag auch daran liegen, dass Entwicklerinnen und Entwickler das Security-Tooling eher als lästiges Beiwerk empfinden und dafür wenig Enthusiasmus an den Tag legen.

Zudem musste die Dev-Community immer wieder die Erfahrung machen, dass entsprechende Analysen teils Wochen dauern und die Ergebnisse obendrein gespickt sind mit Falschmeldungen. Sauberes Einbinden in den Development-Prozess erscheint daher schlicht unmöglich. Dennoch wird von Entwicklerteams erwartet, diese Tools in ihrem Stack einzusetzen.

Ist hier ein Breaking Point erreicht? Wie lässt sich mit diesem Dilemma umgehen, um doch noch zu einer für alle Beteiligten zufriedenstellenden Lösung zu kommen?

Hier kommt Machine Learning wieder ins Spiel. Der Vortrag will erklären, inwieweit sich die beschriebenen Probleme bei der statischen Programmanalyse mit ML auflösen lassen. Eines sei vorweggenommen: Einfach nur bestehende Modelle mit Quellcode zu füttern, reicht nicht aus.

Anhand verschiedener Demos und konkreter Tipps zeigt der Referent, welche Kriterien bei der Tool-Auswahl für statische Programmanalyse und ein Framework allgemein wichtig sind, damit die Methodik als Bereicherung wirkt, und Entwicklerinnen und Entwickler sie auch noch gern einsetzen.

Vorkenntnisse

Kenntnisse in und Interesse an Entwickler-Motivation und -Produktivität

Lernziele


  • Verständnis rund um Möglichkeiten und Unmöglichkeiten statischer Programmanalyse, aktuell und in Zukunft
  • Einbindung statischer Analysen in den DevSecOps-Prozess und Verknüpfung von Developer-Motivation und -Produktivität mit Security-Zielen

Speaker

 

Frank Fischer
Frank Fischer ist im Produktmarketing bei Snyk tätig, einem führenden Anbieter von Sicherheitstechnologien für den Developer Stack, und in dieser Rolle verantwortlich für Snyk Code, ein KI-basiertes SAST-Tool. In den vergangenen 20 Jahren hat Frank verschiedenste Positionen bei Microsoft, Google und der Deutschen Telekom bekleidet und hier unter anderem als Developer Relationship Manager, VP Engineering wie auch als CTO agiert. Zusätzlich zu einem Diplom in Physik des Karlsruhe Institute of Technology verfügt Frank über zwei Master-Titel der University of Liverpool in Informationstechnologie sowie in Business & Organizational Psychology und arbeitet an der University of York gerade an seiner Doktorarbeit im Bereich statische Programmanalyse und UX

CC-Newsletter

Sie möchten über die Continuous Lifecycle und die ContainerConf auf dem Laufenden gehalten werden?

 

Anmelden