Klassische SAST-Tools stoßen in der Praxis oft an Grenzen: Sie übersehen kritische Schwachstellen, wie fehlende Authentisierung, und produzieren viele irrelevante Findings. In umfangreichen Analysen von Open-Source-Projekten haben wir systematische Schwächen solcher Tools identifiziert und untersucht, wie Language Models (LMs) die statische Codeanalyse verbessern können. Wir zeigen, wie LMs bei der Schwachstellensuche und -bewertung helfen und so zu einer deutlich verbesserten Gesamtergebnisqualität führen können.

Zielpublikum: Architekten, Entwickler, Projektleiter, Sicherheitsverantwortliche
Voraussetzungen:Grundkenntnisse statische Quellcodeanalyse und Einsatz LLMs
Level: Practicing

Extended Abstract:
Viele Teams setzen im Secure Software Development Lifecycle auf klassische statische Codeanalyse (SAST), um Sicherheitslücken frühzeitig zu erkennen. Doch in der Praxis stoßen diese Werkzeuge oft an Grenzen: Relevante Schwachstellen wie fehlende Authentisierung oder fehlerhafte Autorisierungslogik werden häufig übersehen – gleichzeitig müssen Entwickler sich durch viele irrelevante oder unklare Findings kämpfen.

Wir haben über mehrere Jahre hinweg umfangreiche dynamische und statische Analysen von Open-Source-Projekten durchgeführt und dabei systematisch Schwächen klassischer SAST-Tools identifiziert. Vor diesem Hintergrund haben wir untersucht, ob und wie Large Language Models (LLMs) – also moderne KI-Modelle wie GPT – die statische Analyse gezielt unterstützen und verbessern können.

In diesem Vortrag zeigen wir, wie wir LLMs zur semantischen Bewertung sicherheitskritischer Code-Stellen einsetzen, wie sich der Ansatz in bestehende Entwicklungs- und SAST-Prozesse integrieren lässt – und welche konkreten Vorteile sich daraus ergeben: weniger False Positives, höhere Treffergenauigkeit und eine bessere Unterstützung für Entwicklungsteams im Alltag. Anhand realer Beispiele geben wir einen praxisnahen Einblick in die Zukunft der sicheren Softwareentwicklung.