Förderjahr 2023 / Projekt Call #18 / ProjektID: 6878 / Projekt: WebSecBot
Fortschritte beim Prompt-Engineering
In unserem aktuellen Entwicklungsstadium liegt der Fokus auf einem entscheidenden Element des WebSecBot: dem Prompt-Engineering. Die gezielte Gestaltung und Optimierung der System-Prompts ist essenziell, um den Bot in die Lage zu versetzen, Sicherheitsprobleme auf Webseiten effizient zu identifizieren und praxisnahe Lösungsvorschläge zu liefern. Durch iterative Tests und kontinuierliche Verbesserungen entwickeln wir den WebSecBot stetig weiter, um ihn für die Anforderungen in der Praxis zu optimieren.
Präzise Analyse durch strukturierte Kategorien
Ein zentrales Element dabei ist die Analyse von Schwachstellen anhand einer vordefinierten Liste von Sicherheitskategorien, die wir auf der Grundlage unserer Erfahrungen, der OWASP Top Ten sowie Diskussionen mit Pentester:innen entwickelt haben. Für jeden Punkt auf dieser Liste extrahiert der WebSecBot gezielt relevante Informationen, wie z. B. Parameter, HTML-Elemente oder Header-Daten, und überprüft diese auf potenzielle Schwachstellen. Diese strukturierte Herangehensweise ermöglicht es, spezifische Sicherheitsprobleme zu identifizieren und maßgeschneiderte Empfehlungen zu entwickeln.
Testen mit OWASP Juice Shop
Die OWASP Juice Shop-Plattform bietet eine realistische und international anerkannte Testumgebung, die es ermöglicht, Sicherheitslücken unter praxisnahen Bedingungen zu analysieren. Mit ihrem breiten Spektrum an simulierten Schwachstellen bietet sie die ideale Grundlage, um den WebSecBot auf typische Szenarien vorzubereiten und seine Effektivität gezielt zu steigern. Die gewonnenen Erkenntnisse fließen unmittelbar in die Verbesserung der System-Prompts ein. Ziel ist es, den WebSecBot nicht nur technisch zu optimieren, sondern auch die Inhalte so zu gestalten, dass sie für Entwickler:innen und Sicherheitsexpert:innen gleichermaßen nützlich sind.
Kontinuierliche Verbesserungen
Das Prompt-Engineering ist ein iterativer Prozess. Die Ergebnisse werden kontinuierlich evaluiert und an die spezifischen Anforderungen angepasst. Mit diesen Fortschritten kommen wir unserer Vision näher, einen zuverlässigen Assistenten zu schaffen, der nicht nur Schwachstellen aufzeigt, sondern auch eine wertvolle Unterstützung für Entwickler:innen und Sicherheitsexperten im Arbeitsalltag bietet.
