Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Weitere Magazine

Empfehlungen

Info

Analyse steigert. Es galt also eine vernünftige Abwägung zwischen Analysegenauigkeit und Analyseaufwand zu finden. Ohne vorherige Erprobung war der bestmögliche Kompromiss nicht absehbar. Daher bestand eine kritischen Anforderungen darin, eine flexible Implementierungsstrategie zu finden, die jederzeit ein Nachjustieren der Fluss- und Kontextsensitivität ermöglicht, ohne größere Änderungen am Framework vornehmen zu müssen. Parallel zu den vorrangig wissenschaftlichen Anforderungen wurden im Projekt praxisorientierte Anforderungen ermittelt. Diese spiegeln vor allem die Anwendersicht auf das entsprechende Softwareprodukt wider und beziehen sich insbesondere auf systemtechnische Anforderungen, die gewünschte Handhabung sowie die sinnvolle und verwertbare Ausgabe der Arbeitsergebnisse des geplanten Frameworks. Nicht nur, um den Prozess der Anforderungsabstimmung zu unterstützen, sondern auch um die Kommunikation und den Ergebnisaustausch unter den Projektpartnern zu erleichtern und zu fördern, wurde bereits zu Projektbeginn vom Konsortialführer CC ein projektinterner Wiki eingerichtet. Damit war die Arbeit der verschiedenen Verbundpartner für alle Projektmitglieder transparent und nachvollziehbar. Beschreibungssprache FLOW Das Vorhaben war von Beginn an darauf ausgerichtet, eine möglichst quellsprachenunabhängige Analyseunterstützung bereitzustellen. Für die ins Auge gefassten Programmiersprachen-Frameworks wurden dazu zunächst die sicherheitsrelevanten Datenquellen und Datensenken erhoben. Die Anforderung bestand darin, für alle ermittelten Codemuster eine einheitliche Darstellungsmöglichkeit zu schaffen, die den Besonderheiten der Quellsprachen Rechnung trägt. Unter Mitwirkung und Anleitung von IESE sammelten die Anwendungspartner ICT und SHE dazu typische Codebeispiele bzw. Validierungsmuster. Aus diesen Codemustern sollten im Projekt allgemeine Merkmale für sicherheitskritische Datenquellen und Datensenken abgeleitet werden. Zudem flossen Ergebnisse hieraus in die Konzeption der Datenflussbeschreibungssprache FLOW ein. Diese SecFlow-eigene Modellierungssprache FLOW dient dazu, die für eine Analyse notwendigen Informationen über Datenflüsse von externe Funktionen zu hinterlegen, die von SecFlow nicht analysiert werden können bzw. explizit von der Analyse ausgenommen werden sollen. Diese Informationen werden in der FLOW-Sprache über sogenannte Flow- Dateien (Summary Datei) an das SecFlow-Werkzeug weitergegeben. Das Konzept wurde von IESE entwickelt. Dabei wurde zunächst ein relationales, dann ein aspektorientiertes Beschreibungsformat für Datenfluss-Spezifikationen erprobt. Beide Spezifikationsformate setzten jedoch ein hohes Maß an Abstraktionsvermögen und viel Hintergrundwissen über Datenflussanalyse beim Anwender voraus und erwiesen sich daher als nicht geeignet. Aufbauend auf diesen Erfahrungen entwickelte Fraunhofer IESE in mehreren Iterationen schließlich die spezialisierte Datenfluss-Beschreibungssprache FLOW [Mandel&Jawurek 2008]. Neben der Sprachunabhängigkeit soll mit dem Einsatz von FLOW und mit der damit verbundenen intuitiven Ausdrucksweise und den minimalen, aber genau erzeugten Informationen die Spezifikation des Datenflusses erleichtert werden. Die abstrakte Darstellung erlaubt es, bekannte Datenflüsse, -quellen und -senken auf einfache Art abzubilden. Um zukünftigen Anwendern die Erstellung solcher Spezifikationen zu erleichtern, wurde von ICT und SHE auf Basis des Konzeptes von IESE eine Dokumentation mit Beispielen erarbeitet [Kalenborn et al. 2008]. Entwicklung des Analysewerkzeuges Auf Grundlage der Ergebnisse aus der Anforderungsanalyse wurde durch IESE und CC die Softwarearchitektur des SecFlow-Werkzeugs entworfen und verschiedene Technologiealternativen recherchiert und hinsichtlich ihres Nutzens und der Einsatzfähigkeit für das Projekt bewertet. Der Architekturentwurf beinhaltete den modularen Aufbau des Frameworks mit Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 10 von 27
� einem sprachunabhängigen Werkzeugkern, der alle für die Analyse relevanten Methoden und Abläufe umfasst, � spezifischen Plugin-Modulen zur Anbindung verschiedener Programmiersprachen, � einer Präsentationskomponente zur zielgruppenspezifischen Darstellung der Ergebnisse und � einer Benutzeroberfläche, über welche die Benutzereingaben gesteuert und strukturiert werden können. Um den Implementierungsaufwand möglichst gering zu halten, verständigten sich die Partner darauf, soweit sinnvoll und möglich bereits existierende Konzepte und Methoden bei der Realisierung des Werkzeugs einzusetzen. Die Bewertung verschiedener Realisierungsalternativen erfolgte im Hinblick auf den Grad der Erfüllung der gesammelten Anforderungen. Themen waren dabei zum Beispiel die optimale Repräsentation des analysierten Programms (z. B. mittels Quelltext, Syntaxbaum, Kontrollflussgraph, Zwischencode), der während der Analyse gewonnenen Informationen (z. B. relational, objektorientiert, imperativ), der Analyseregeln (z. B. logisch, mengenbasiert, objektorientiert, programmatisch) sowie die Darstellung der Analyseergebnisse. In Abstimmung mit allen Pojektpartnern wurde schließlich ein Ansatz auf Basis einer kontextsensitiven Codeanalyse ausgewählt, welcher sich im Open-Source-Framework Joeq wiederfand. Eine wichtige Rolle für die Auswahl dieses Frameworks war die in Joeq verwendete viel versprechende Datalog- und BDD-Technologie. Dabei wird für die Speicherung und Auswertung der Datenflussinformationen die BDD-basierte Deduktive Datenbank "BDDBDDB" [Whaley 2004] verwendet. Zur Formulierung der logischen Analyseregeln zur Ermittlung komplexer Zusammenhänge dient die Abfragesprache "Datalog" (http://de.wikipedia.org/wiki/Datalog). Das Joeq-Framework bietet Programmiersprachenunabhängkeit durch eine Intermediate Representation (IR) basierend auf einem Quad genannten Zwischencode. Dieser stellt eine traditionelle 2-stufige Zwischensprache mit einem Kontrollflussgraphen und einer Darstellung der Befehle als Quads (3 Operatoren, 1 Operand) dar. Als prozessornahe registerbasierte Darstellung vereinfacht Quad die Datenflussanalyse, die in einer stackbasierten Darstellung durch das Stackhandling wesentlich aufwendiger wäre. Die sprachunabhängige Darstellung Quad dient für SecFlow zudem als Schnittstelle zur Anbindung der verschiedenen Programmiersprachen an das SecFlow-Analyseframework. Diese Anbindung erfolgt im jeweiligen Sprachmodul durch einen – natürlich sprachabhängigen – Compiler für die Übersetzung vom Quell- bzw. Bytecode der jeweiligen Programmiersprache nach Quad. Insgesamt resultierte eine modulare Werkzeugarchitektur gemäß Abbildung 1. Die Architektur sieht vor, dass Software verschiedener Quellsprachen analysiert werden kann. Aktuell unterstützt das Werkzeug die Programmiersprachen Java und C#, wobei jeweils der Bytecode (JBC/Java bzw. CIL/.NET-Assembly) analysiert wird. Dieser erste Schritt, der nicht zum SecFlow-Werkzeug gehört, sondern von konventionellen Compilern erledigt wird, wird unter der Bezeichnung ”Preprocessing" zusammengefasst. Die Sprachkomponente (Language Component) übersetzt den stackbasierten, sprachabhängigen Bytecode in die registerbasierte, sprachunabhängige Zwischensprache Quad. Der so entstehende Zwischencode dient als Schnittstelle zu nachfolgenden SecFlow- Komponenten. Er beinhaltet die Datenbasis für die spätere Analyse. Die Adapterkomponente (Adapter Component) übersetzt den Zwischencode in relationale Tupel. Diese Tupel bilden im Quadcode enthaltene Zusammenhänge ab. Datenfluss-Summaries sind Modelle externer Funktion, die nicht direkt analysiert werden können. Sie müssen manuell spezifiziert werden. Die Summarykomponente (Summary Component) übersetzt die Datenfluss-Summaries und macht sie damit für das Werkzeug verfügbar. Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 11 von 27
Seite 1 und 2: PH_GE_Titelseite 3.0, Master V3.0,
Seite 3 und 4: Inhaltsverzeichnis 1 Kurze Darstell
Seite 5 und 6: 1.3 Planung und Ablauf des Vorhaben
Seite 7 und 8: Entgegen der ursprünglichen Planun
Seite 9: 2 Eingehende Darstellung 2.1 Erziel
Seite 13 und 14: Die Filterkomponente (Filter Compon
Seite 15 und 16: dass eine Anbindung von PHP prinzip
Seite 17 und 18: Um den in der ersten Projektphase e
Seite 19 und 20: Weiterhin wurden im Rahmen der Eval
Seite 21 und 22: verschiedener Programmiersprachen u
Seite 23 und 24: [Peine et al. 2006] H. Peine, S. Ma
Seite 25 und 26: 3 Literaturverzeichnis [Aho et al.
Seite 27: [Whaley&Lam 2004] J. Whaley, M. Lam

Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?