8. Static Analysis Days 2021 - DIGITAL

Die 8. Static Analysis Days haben am 5. und 6. Mai 2021 mit zahlreichen Teilnehmern aus allen deutschsprachigen Ländern digital stattgefunden.

Für ausgewählte Vorträge haben wir Ihnen Videoaufzeichnungen verlinkt.

Begrüßung und Einführung in die Static Analysis Days 2021

(Klaus Lambertz, Gründer und Geschäftsführer, Verifysoft Technology GmbH)
Präsentationsfolien (pdf) hier Video auf YouTube ansehen

Was ist eigentlich „Statische Codeanalyse"?

(Royd Lüdtke, Director Static Code Analysis, Verifysoft Technology GmbH)
In der Entwicklung sicherheitskritischer Software längst Standard, helfen Werkzeuge zur statischen Codeanalyse mittlerweile zunehmend in allen Bereichen der Software-Entwicklung die Qualität zu verbessern.
Aber was ist eigentlich „Statische Codeanalyse“?
Der Vortrag gibt Neueinsteigern eine kurze Einführung in die komplexe Thematik.
Präsentationsfolien (pdf) hier Video auf YouTube ansehen

Refactoring: Chancen und Vorgehensweisen

(Jan-David Baltzer, Support Static Code Analysis, Verifysoft Technology GmbH)
Refactoring ist heutzutage gängige Praxis in der Softwareentwicklung. Es verbessert wesentlich die Wartbarkeit und Erweiterbarkeit aktiv entwickelter Softwareprojekte.
Allerdings birgt Refactoring seine ganz eigenen Herausforderungen, insbesondere im Umgang mit älteren Projekten.
Dieser Vortrag geht auf Refactoring mit seinen Herausforderungen ein und wie das Werkzeug Imagix 4D hilft, diesen zu begegnen.
Präsentationsfolien (pdf) hier Video auf YouTube ansehen

DevSecOps – Detecting 0-day and N-day vulnerabilities, everyday.

(Walter Capitani, Director Technical Product Management, GrammaTech Inc. USA)
The software development industry is in the midst of a shift to integrating security into the software development process - this is often referred to as DevSecOps, the combination of Development, Security and Operations.
A key part of the DevSecOps movement is to perform security testing as close to the developer as possible to find vulnerabilities earlier in the development cycle. A proven technique to find issues early is the integration of Static Application Security Testing (SAST) and Software Composition Analysis (SCA) tools into CI/CD pipelines.
Integration of these tools will execute tests and detect new vulnerabilities automatically with every code change.
Join this session to learn how the latest release of GrammaTech’s CodeSonar and CodeSentry solutions work together to support DevSecOps and detect N-day vulnerabilities in your source code, binaries, and 3rd party software components.
watch Video now on YouTube

Finding the Serious Bugs that Matter with Advanced Static Analysis

(Dr. Paul Anderson, Vice President of Engineering, GrammaTech Inc. USA)
Many teams use static analysis tools primarily to enforce coding standards like MISRA that are designed to make programming in highly risky languages such as C and C++ much less hazardous. However, because C and C++ are such dangerous languages, programs that seem perfectly compliant with these standards may still contain serious defects and security vulnerabilities due to the inadvertent introduction of undefined behavior.
The primary purpose of advanced static analysis tools is to see past the superficial syntactic properties of programs and into their deep semantic meaning, and by doing so, find those bugs.
This talk will describe how these tools work, and will show some concrete examples of real bugs that they found in production code, despite the code having gone through style checking, manual review, and testing.
Finally, you will get a taste of how users can customize the tools to their own domain, thereby allowing users to greatly increase the value they receive from using them.
watch Video now on YouTube

Begrüßung und Einführung in den 2. Tag der Static Analysis Days 2021

(Klaus Lambertz, Gründer und Geschäftsführer, Verifysoft Technology GmbH)
hier Video auf YouTube ansehen

Softwaremetriken: Ein bewährtes Entwicklungswerkzeug oder nur ungeliebte Magic Numbers?

(Jan-David Baltzer, Support Static Code Analysis, Verifysoft Technology GmbH)
Mit der Software kam auch der Bedarf, diese zu messen und zu bewerten. Neben einfachen Eigenschaften wie der Anzahl der Zeilen sind besonders in Führungsebenen relativ komplexe Metriken mit klaren Aussagen bevorzugt. Für die Einen sind Softwaremetriken genau das, was für die Entscheidungsfindung benötigt wird, für die Anderen sind sie wie eine große, mystische Kristallkugel mit äußerst fragwürdigen Aussagen.
Dieser Vortrag geht auf die Historie, die Praxisrelevanz und die Verwendung von Softwaremetriken ein.
Präsentationsfolien (pdf) hier Video auf YouTube ansehen (Ausschnitt)

Testen zur Laufzeit und statische Codeanalyse – zwei komplementäre Verfahren

(Royd Lüdtke, Director Static Code Analysis, Verifysoft Technology GmbH)
Lange Zeit war das Testen zur Laufzeit das wichtigste Instrument um eine adäquate Softwarequalität zu erzielen.
Heute setzt sich zunehmend die Erkenntnis durch, dass sich nur durch die gemeinsame Durchführung von statischer Analyse und hinreichendem Testen eine bestmögliche Qualität erzielen lässt.
Der Vortrag zeigt auf, warum sich beide Verfahren optimal ergänzen.
Präsentationsfolien (pdf) hier Video auf YouTube ansehen

Finding N-day Security Vulnerabilities in Third-party Software

(Dr. Paul Anderson, Vice President of Engineering, GrammaTech Inc. USA)
An N-day vulnerability is a known security problem for which a fix is available, but where the fix has not been applied due to oversight, poor practice, or misunderstanding.
To identify such risky components, Software Composition Analysis tools are available to scan the source code for matches against a database of known code vulnerabilities in versioned components.
This problem is particularly acute for organizations that receive software binary code from their suppliers because the source code is unavailable to scan. This talk introduces a new technique for identifying N-day vulnerabilities in binary components.
Under the hood are a set of identification algorithms that use a variety of techniques including machine learning that work in concert to produce a software bill of materials enumerating the components used in the compilation of the binary. This is then cross-checked against vulnerability databases to produce a report that assesses the risk of the program as a whole.
watch Video now on YouTube

Tools to Perform a Security Review on Unknown Code

(John Blattner, President Imagix Corp. and Walter Capitani, Director Technical Product Management, GrammaTech Inc. USA)
Performing a deep security review on third party code is hard. You typically receive a bunch of source code, no design documents, very little comments in the source code. Still, you have to do an assessment of the code and provide a risk score.
Where do you get started?
Learn how tools can help. GrammaTech CodeSonar can perform deep static application security testing on the source code. The result is a set of warnings of things that may be risky. Still, to understand whether a problem, say a buffer overrun, is externally triggerable, you would need to understand the design of the application. This is where Imagix 4D comes in, it can overlay the path of the static analysis warning over a design that is reverse engineered from the source code. And that is just one of the many tricks.
watch Video now on YouTube

Referenten

Dr. Paul Anderson

Paul Anderson leitet die Entwicklungsabteilung bei GrammaTech (USA), einem der führenden Hersteller von Statischen Codeanalysetools. Er hat seinen Bachelor in Kings College of London University abgeschlossen und an der City University of London promoviert. Die Ergebnisse von Paul Andersons Arbeit wurden in zahlreichen Artikeln, Publikationen, Büchern und internationalen Konferenzen zitiert. Dr. Anderson hat mehr als 20 Jahre Erfahrung in der Entwicklung von statischen Analysewerkzeugen und automatisierten Testtools.

M.Sc. Jan-David Baltzer

Jan-David Baltzer erarbeitete sich den Abschlussgrad Master of Science im Studiengang Informatik Master an der Fachhochschule in Offenburg. Seitdem arbeitet er bei der Firma Verifysoft Technology GmbH in der Abteilung für statische Codeanalysetools. Er ist zuständig für die Bearbeitung von Supportfällen und die Durchführung von Produktschulungen der Werkzeuge GrammaTech CodeSonar und Imagix 4D.

John Blattner

John Blattner is a founder of Imagix Corporation. He has more than 30 years of experience developing reverse engineering tools. John holds a BA in engineering from Yale University, an MBA from Stanford University, and has two US patents.

Walter Capitani

Walter Capitani, Director, Technical Product Management for GrammaTech is a recognized expert in embedded and enterprise software security. He has led global product development teams focused on safety-critical and secure software, SaaS application performance, file distribution applications for broadcast television and cinema, and 3D video compression and transmission technology.

Dipl.-Ing. (FH) Royd Lüdtke

Diplom-Ingenieur Royd Lüdtke leitet bei Verifysoft den Pre-Sales und Support für Statische Codeanalysetools im deutschsprachigen Raum. Royd Lüdtke hat umfangreiche Berufserfahrung als Applikationsingenieur und Berater bei einer Vielzahl von Firmen und Institutionen wie New Era Of Networks, Sybase, Rogue Wave Software und dem Fraunhofer Institut. Lüdtke studierte in Dortmund Elektrotechnik und Energietechnik, hält mehrere Patente und ist Autor von Veröffentlichungen im IT-Bereich.