Ein­la­dung zu den Vor­trä­gen von Herr Anirud­dhan Mu­ra­li & Herr No­ble Sa­ji Ma­thews (Uni­ver­si­ty of Wa­ter­loo, Ka­na­da) am 07. No­vem­ber

In der Zeit vom 6. bis 29. November werden Herr Aniruddhan Murali & Herr Noble Saji Mathews von der University of Waterloo, Kanada, uns in der Fachgruppe Secure Software Engineering besuchen. Sie sind alle herzlich eingeladen, während ihres Aufenthalts Kontakte zu knüpfen.

Zur Eröffnung werden beide am 7. November zwischen 10 und 11 Uhr eine kurze Präsentationen halten, deren Zusammenfassungen Sie unten finden. Sie sind alle eingeladen, daran teilzunehmen!

Herr Aniruddhan Murali

Raum: F0.225

Titel: FuzzSlice: Beschneidung von Falsch-Positiven in Warnungen der statischen Analyse durch Fuzzing auf Funktionsebene

Kurzbeschreibung:
Die manuelle Bestätigung von statischen Analyseberichten ist eine entmutigende Aufgabe. Dies liegt sowohl an der großen Anzahl von Warnungen als auch an der hohen Dichte von False Positives unter ihnen. Es wurden Fuzzing-Techniken vorgeschlagen, um Warnungen der statischen Analyse zu verifizieren. Eine wesentliche Einschränkung besteht jedoch darin, dass das Fuzzing des gesamten Projekts, um alle Warnungen der statischen Analyse zu erreichen, nicht machbar ist. Dies kann mehrere Tage und exponentielle Maschinenzeit in Anspruch nehmen, um die Codeabdeckung linear zu erhöhen.

Daher schlagen wir FuzzSlice vor, ein neuartiges Framework, das automatisch mögliche Falsch-Positive unter den Warnungen der statischen Analyse herausfiltert.
Im Gegensatz zu früheren Arbeiten, die sich hauptsächlich auf die Bestätigung wahrer Positivmeldungen bei statischen Analysewarnungen konzentrieren, was zwangsläufig ein End-to-End-Fuzzing erfordert, konzentriert sich FuzzSlice darauf, potenzielle Falsch-Positivmeldungen auszuschließen, die in statischen Analyseberichten die Mehrheit darstellen. Die wichtigste Erkenntnis, auf der unsere Arbeit basiert, ist, dass eine Warnung, die bei Fuzzing auf Funktionsebene innerhalb eines bestimmten Zeitbudgets nicht zu einem Absturz führt, ein mögliches False Positive darstellt. Um dies zu erreichen, zielt FuzzSlice zunächst darauf ab, kompilierbare Code-Slices auf Funktionsebene zu erzeugen.Anschließend fuzzt FuzzSlice diese Codeschnipsel anstelle des gesamten Binärcodes, um mögliche falsch-positive Ergebnisse auszuschließen. Unsere Bewertung zeigt, dass die Grundwahrheit im Juliet-Datensatz 864 falsch positive Ergebnisse aufwies, die alle von FuzzSlice erkannt wurden. Bei den Open-Source-Repositories konnten wir die Entwickler von zwei dieser Open-Source-Repositories dazu bringen, diese Warnungen unabhängig voneinander zu kennzeichnen. FuzzSlice identifiziert automatisch 33 von 53 Fehlalarmen, die von den Entwicklern dieser beiden Repositories bestätigt wurden.Dies bedeutet, dass FuzzSlice die Anzahl der Fehlalarme in den Open-Source-Repositories um 62,26 % und im Juliet-Datensatz um 100 % reduzieren kann.

Herr Noble Saji Mathews

Raum: F0.225

Titel: Fortschritte im Code-Verständnis: Von der statischen Analyse zur KI-gesteuerten Softwareentwicklung

Kurzbeschreibung:
Mit dem Erfolg von Tools wie Copilot und KI-gesteuerten Assistenten verlagert sich die Softwareentwicklung hin zu einem absichtsgesteuerten Ansatz, der neue Möglichkeiten und Herausforderungen mit sich bringt.KI hilft uns jetzt, Systeme zu entwickeln, die Sprache und damit Code auf eine Art und Weise verstehen, die vorher nicht möglich war, und verändert damit die Art und Weise, wie wir Software entwickeln und warten.In diesem Vortrag werde ich über meinen Werdegang berichten, der mit statischer und dynamischer Analyse während meines Studiums begann und sich auf das Lernen von Codedarstellungen und in jüngster Zeit auf die Forschung zu großen Sprachmodellen (LLMs) in der Softwareentwicklung ausweitete.Ich werde einen Überblick über meine bisherigen Projekte und Interessen geben und einen Rückblick darauf geben, wie sich das Codeverständnis in nur wenigen Jahren entwickelt hat. 
Wohin könnte die nächste Generation von Codeanalysetools gehen? Ich glaube, es ist eine aufregende Zeit, um in der Softwaretechnik zu forschen!