Softwaresicherheit: Mit KI gegen Softwarefehler
Veracode hat unter dem Namen Fix ein ML-gestütztes Produkt vorgestellt, das Entwicklerteams dabei helfen soll, Schwachstellen im Code leichter zu beheben.
(Bild: Shutterstock/Wit Olszewski)
- Frank-Michael Schlede
Die Software Veracode Fix nutzt ein GPT-basiertes maschinelles Lernmodell, mit dessen Hilfe sie Entwicklerteams Maßnahmen zur Behebung von Sicherheitsmängeln vorschlägt, die in Code und Open-Source-Abhängigkeiten gefunden werden. Dieses Modell wurde auf dem proprietären Datensatz von Veracode trainiert, wodurch Veracode auch sicherstellen will, dass kein Schadcode aus Internetquellen zum Einsatz kommt. Die Softwareentwickler und -entwicklerinnen können dann direkt über die Kommandozeile ML-generierte Korrekturen anfordern und auch überprüfen.
Das Problem: Mehr Fehler in kürzester Zeit
Der Anbieter Veracode hat seine Cloud-Dienste zur Sicherheitsanalyse für Web- und mobile Anwendungen schon seit einiger Zeit mit Data-Mining- und ML-Methoden zur Suche von Schwachstellen ausgestattet. Nun erweitert das Unternehmen sein Portfolio mit der neuen Software Veracode Fix.
(Bild: Veracode)
In einem ausführlichen Blogeintrag heben die Entwickler und Entwicklerinnen von Veracode hervor, dass die Verbreitung von Methoden zur Softwareentwicklung mit KI-Unterstützung nicht nur die Arbeit an sich, sondern auch die Verbreitung von Schwachstellen deutlich beschleunigen könne.
Den Grund dafür sehen sie darin, dass bei moderner Softwareentwicklung Bibliotheken von Drittanbietern, Microservices, Automatisierung und andere Faktoren ins Spiel kommen. Software wird häufig mit Hilfe von Automatisierung erstellt, aber Schwachstellen werden bisher weiterhin mit manuellen Methoden behoben. Diese Probleme soll Fix lösen können. Die Software nutzt dabei einen auf Sicherheit spezialisierten maschinellen Ansatz, bei dem die gleiche Transformer-Architektur zum Einsatz kommt, auf der auch ChatGPT aufbaut. Fix wurde auf einen Datensatz trainiert, der aus einem proprietären Datensatz von Vercode kuratiert wurde.
Wie Julian Totzek-Hallhuber, Solution Architect bei Veracode, in einem Gespräch betonte, umfasst dieser Datensatz mehr als 130 Billionen gescannte Codezeilen und 85 Millionen Fehlerbehebungen, die sein Unternehmen über fast zwei Jahrzehnte gesammelt hat. Diese wurden mit überwachtem Lernen von einem Team von Sicherheitsexperten an Fix weitergegeben.
Code-Patches lassen sich direkt übernehmen
Im Gegensatz zu Scanning-Tools, die nur Schwachstellen finden, generiert Veracode Fix sichere Code-Patches. Entwickler und Entwicklerinnen können dann die Vorschläge der Software direkt an der Kommandozeile überprüfen, einen davon auswählen und implementieren, um Sicherheitslücken zu beheben. Dabei entfällt für sie der Schritt, eine Korrektur manuell programmieren zu müssen.
Veracode Fix wird zunächst Java und C# unterstützen. Damit bietet die Software laut Aussagen im Blogeintrag eine Lösung für einen Großteil der Anwendungen von Veracode-Kunden und für eine sorgfältig priorisierte Gruppe von statischen Analyseergebnissen innerhalb dieser Anwendungen. So soll eine Betrachtung aller Ergebnisse der statischen Analyse von Veracode für Java-Anwendungen ergeben haben, dass Veracode Fix empfohlene Korrekturen für 72 Prozent dieser Ergebnisse generiert. Die Software wird im Juni 2023 allgemein verfügbar sein. Auf der Website des Unternehmens finden Interessierte weitere Informationen und können sich für eine Demoversion registrieren.
(fms)
