Was jede*r Programmierer*in über Software-Sicherheit und Programmanalyse wissen sollte

In einer Welt, die mehr und mehr von Software gesteuert wird und in der Treibstoff-Pipelines von Black-Hats per Hack abgeschaltet werden können, ist die Qualität und Korrektheit von Software wichtiger denn je. Dennoch wissen zu wenige Entwickler:innen um die Möglichkeiten, die moderne Programmanalyseverfahren zur Sicherung der Softwarequalität und -korrektheit beitragen können.

Dieser Vortrag präsentiert grundlegende Konzepte der statischen und dynamischen Codeanalyse, zeigt wie diese automatisierten Analysetechniken effektiv in der Praxis eingesetzt werden können und präsentiert best practices zur Entwicklung von qualitativ hochwertiger und sicherer (C/C++) Software.

Vorkenntnisse

Dieser Vortrag setzt grundlegende Kenntnisse in der Programmierung und Softwareentwicklung voraus. Programmierkenntnisse in C/C++ sind von Vorteil, da die im Vortrag vorgestellten Beispiele und Compiler-basierten Werkzeuge diese Sprachen behandeln.

Lernziele

Ziel des Vortrags ist die Vermittlung von grundlegenden Konzepten der Programmanalyse. Durch das vermittelte Wissen und die präsentierten Beispiele werden die Teilnehmer:innen in die Lage versetzt,


  • effektiveren Code zu schreiben,
  • kritische und schützenswerte Teile ihrer Codebasis zu identifizieren und
  • einzuschätzen inwiefern automatisierte Programmanalyseverfahren eingesetzt werden können, um die notwendigen Sicherheitseigenschaften zu garantieren.

Speaker

 

Philipp Dominik Schubert
Philipp Dominik Schubert ist IT-Sicherheitsforscher, Experte für statische und dynamische Programmanalyse und Initiator beziehungsweise Chief Maintainer des Programmanalyseframeworks PhASAR. Herr Schubert arbeitet als wissenschaftlicher Mitarbeiter in der Forschungsgruppe Secure Software Engineering am Heinz Nixdorf Institut. Er ist außerdem Geschäftsführer der GaZAR UG (haftungsbeschränkt), einer Firma die auf (Secure) Software Engineering mit C/C++ spezialisiert ist.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden