Stephan Plöger | Rheinische Friedrich- Wilhelms-Universitaet Bonn | Germany
Paul Corrales-Braun | Code Intelligence GmbH | Germany
Prof. Matthew Smith | Universität Bonn, Fraunhofer FKIE, Code Intelligence | Germany
Die Anzahl an kritischen Schwachstellen in Software nimmt weiterhin rasant zu. Insbesondere systemnahe Sprachen wie C und C++, wie sie in IoT, Embedded und Industrie 4.0 eingesetzt werden, sind stark betroffen. Hierbei spielen die Fehler, die Entwickler machen, eine große Rolle.
Jüngste Schwachstellen wie Heartbleed, Shellshock oder Goto-Fail wurden jeweils von einzelnen Entwicklern verursacht, hatten jedoch globale Konsequenzen. Grundsätzlich wird jede Software-Schwachstelle von Entwicklern verursacht, die Fehler machen.
Doch trägt der Entwickler hieran die Schuld? Forscher auf dem Gebiet der nutzbaren Sicherheit (USEC) erkunden die Ursachen der menschlichen Probleme in der Softwareentwicklung durch interdisziplinäre Forschung.
Dieser Vortrag besteht aus zwei Teilen. Im ersten Teil werden aktuelle Ergebnisse aus Studien mit Entwicklern vorgestellt, in welchen Ursachen für Softwareschwachstellen ergründet werden. Im zweiten Teil werden Neuerungen im Bereich Guided Fuzzing vorgestellt. Mit dieser Technik werden Entwickler dabei unterstützt, Software effizient auf Schwachstellen zu untersuchen.