Security Nightmare: API-Dokumentationen, Stackoverflow und ChatGPT

Mit Hinsicht auf die immer weiter steigenden Hackerangriffe, stehen Entwickler vor der ständigen Herausforderung, Schwachstellen zu vermeiden. Dokumentationen oder interaktive Werkzeuge könnten hier helfen, berücksichtigen aber das Thema Sicherheit nur bedingt - wenn überhaupt.

In diesem Vortrag demonstrieren wir reale Beispiele, bei denen Sicherheit unzureichend berücksichtigt wurde. Zu diesen Beispielen gehören Krypto-API-Dokumentationen, Stackoverflow-Beiträge oder von ChatGPT erstellte Codebeispiele.

Im Anschluss analysieren wir Mängel und beschreiben mögliche sicherheitsrelevante Auswirkungen. Abschließend leiten wir daraus wichtige Learnings und praktische Handlungsempfehlungen ab.

Vorkenntnisse

Dieser Vortrag ist auch für Entwickler ohne tiefe Kenntnisse in sicherer Softwareentwicklung geeignet. Kenntnisse einer speziellen Programmiersprache oder einzelner Bibliotheken wie z.B. Kryptographie sind nicht erforderlich.

Lernziele

• Die Teilnehmenden erfahren, dass in Bezug auf Softwaresicherheit Dokumentationen zum Teil unklar oder kompliziert formuliert sind und sowohl Online-Foren als auch KI-Tools selten das Thema Sicherheit adressieren.
  
• Die Teilnehmenden lernen, wie sie sicherheitsrelevante Aspekte in ihren beruflichen Fragestellungen berücksichtigen können und fördern somit das sicherheitsbewusste Denken in ihren Teams.