Zurück

OSS am Beispiel von Java: Bekannte Sicherheitslücken und wie Dependency Scanner sie (nicht) finden

Rund 71 % des Codes in typischen Java-Projekten stammt aus Open-Source-Abhängigkeiten – damit ist OSS der dominierende Bestandteil moderner Software. Diese Abhängigkeit birgt jedoch Risiken: Bekannte Schwachstellen können unbemerkt in Projekte gelangen, wie der Log4Shell Vorfall zeigte. Um dem zu begegnen, wurden zahlreiche Dependency Scanner entwickelt, die verwundbare OSS-Komponenten erkennen sollen.

Doch halten diese Tools ihre Versprechen? Erkennen sie alle verwundbaren Abhängigkeiten zuverlässig? Und sind die gemeldeten Schwachstellen tatsächlich relevant?

In dieser Präsentation beleuchtet Stefan Ansätze, Stärken und Schwächen aktueller Scanner sowie Lösungsansätze aus aktueller Forschung.

Vorkenntnisse

Grundlegende Kenntnisse der (Java)-Softwareentwicklung

Lernziele

Risiken, die mit der Nutzung von Open Source Software einhergehen
Funktionsweise aktueller Dependency Scanner
Limitierungen aktueller Dependency Scanner
Aktuelle konstruktive Forschungsansätze, die diese Limitierungen aktueller Dependency Scanner addressieren und die vorhandenen Probleme lösen

Speaker

Stefan Schott ist wissenschaftlicher Mitarbeiter der von Prof. Eric Bodden geleiteten Secure Software Engineering Forschungsgruppe an der Universität Paderborn. Seit November 2021 forscht er im Themenfeld der Software Supply Chain Security, besonders im Bereich der Erkennung von Schwachstellen in inkludierten Open-Source-Bibliotheken, die nur in modifizierter Form vorliegen.

Jetzt Tickets sichern

heise-devSec-Newsletter

Du möchtest über die heise devSec
auf dem Laufenden gehalten werden?

Anmelden