OSS am Beispiel von Java: Bekannte Sicherheitslücken und wie Dependency Scanner sie (nicht) finden
Rund 71 % des Codes in typischen Java-Projekten stammt aus Open-Source-Abhängigkeiten – damit ist OSS der dominierende Bestandteil moderner Software. Diese Abhängigkeit birgt jedoch Risiken: Bekannte Schwachstellen können unbemerkt in Projekte gelangen, wie der Log4Shell Vorfall zeigte. Um dem zu begegnen, wurden zahlreiche Dependency Scanner entwickelt, die verwundbare OSS-Komponenten erkennen sollen.
Doch halten diese Tools ihre Versprechen? Erkennen sie alle verwundbaren Abhängigkeiten zuverlässig? Und sind die gemeldeten Schwachstellen tatsächlich relevant?
In dieser Präsentation beleuchtet Stefan Ansätze, Stärken und Schwächen aktueller Scanner sowie Lösungsansätze aus aktueller Forschung.
Vorkenntnisse
- Grundlegende Kenntnisse der (Java)-Softwareentwicklung
Lernziele
- Risiken, die mit der Nutzung von Open Source Software einhergehen
- Funktionsweise aktueller Dependency Scanner
- Limitierungen aktueller Dependency Scanner
- Aktuelle konstruktive Forschungsansätze, die diese Limitierungen aktueller Dependency Scanner addressieren und die vorhandenen Probleme lösen