Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Weitere Magazine

Empfehlungen

Info

eide Views ist es möglich, den Flow-Generator aufzurufen und so die Erzeugung neuer Summary Dateien zu starten. Abb. 4: Überblick zur Benutzerschnittstelle Die Flow Outline View zeigt eine strukturierte Übersicht über eine Flow-Datei. Die View soll den Entwickler dabei unterstützen korrekte Flow-Dateien zu erstellen. Die Auswahl eines Elements öffnet im Source-Editor die entsprechende Flow-Datei und positioniert den Cursor vor dem ausgewählten Element. Änderungen an der Flow-Datei werden beim Speichern direkt in der Outline View übernommen. Mit dem Flow-Generator ist es möglich, unter Angabe der Quelldatei automatisch Templates für Flow-Dateien zu erzeugen. Diese beinhalten ein an die Gegebenheiten der jeweiligen Bibliotheksfunktion angepasstes Grundgerüst zur Darstellung des entsprechenden Datenflussmodells. Diese Grundgerüst kann dann vom Anwender mit den entsprechenden Datenflussinformationen gefüllt werden. Präsentationskomponente Das SecFlow-Analyse-Backend liefert Informationen über sicherheitsrelevante Schwachstellen in sogenannten Pfaden. Ein Pfad beschreibt einen Weg von einer Quelle zu einer Senke. Über eine Quelle werden potentiell kritische Daten in ein Programm eingespeist. Wenn diese bis zur Senke gelangen, entsteht möglicherweise ein Schaden. Die Ergebnisse werden durch das Analyse-Backend in Form einer XML-Struktur ausgegeben. Die Präsentationskomponente hat zum einen die Aufgabe, diese Analyseergebnisse für Programmentwickler und -verantwortliche leicht verständlich darzustellen und zum anderen eine Rückreferenzierung von den Analyseergebnissen auf den dem Entwickler vorliegenden Quellcode des analysierten Systems anzubieten. Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 16 von 27
Um den in der ersten Projektphase ermittelten Anforderungen gerecht zu werden, wurden durch den Implementierungspartner CC zwei spezielle Ausgabekomponenten geschaffen – die Outpath View und die Reporting-Komponente. Die Out Path View bereitet die Ausgaben des SecFlow-Analyse-Backends auf und stellt sie dem Entwickler in optisch und logisch aufbereiteter Form dar. Aus ihr kann der Anwender die ermittelten sicherheitskritischen Pfade und deren Elemente ablesen. Darüber hinaus bildet die Out Path View die Schnittstelle und Verbindung zwischen der Ausgabe des SecFlow- Analyseframeworks und dem Quelltext der analysierten Source-Datei: Die angezeigten Pfadelemente sind mit den Quelltextabschnitten verknüpft und ermöglichen es, in die betroffene Codezeile in der analysierten Source zu navigieren (siehe Abbildung 5). Abb. 5: Out Path View Die im Out Path View angezeigten Informationen beschränken sich auf die für die Anzeige im Quelltext relevanten Inhalte, wie zum Beispiel Element, Identifier oder Zeilennummer. Darüber hinaus können auch weitere Statistiken bezüglich der Ausgabe des SecFlow- Werkzeugs ermittelt werden. Aus der Out Path View heraus ist es möglich, die Reportausgabe zu starten und Reports in verschiedenen Formaten (HTML, PDF, ODT, XLS) zu erstellen. Ein Report fasst den analysierten Quelltext, die Ausgabe des SecFlow- Werkzeugs und die Beziehungen zwischen diesen beiden zu einem Dokument zusammen und ermittelt Kennzahlen über Quellen, Senken, Pfade, Schwachstellen etc. zu den analysierten Programmen. Die Reportgenerierung in SecFlow basiert auf der Reporting Engine JasperReports und iReport [Jasper 2008]. Das Tool iReport bietet eine GUI-Oberfläche zur Erstellung und Bearbeitung von JasperReports. Das Subreport-Konzept von iReport gestattet es, einzelne Komponenten eines Reports und den Report selbst in anderen Reports wiederzuverwenden. Dadurch ist es möglich, das Aussehen und die Ausgaben des Reportings ohne großen Aufwand zu ändern und zu erweitern. Die grundlegenden Informationen zum Aufbau des SecFlow-Werkzeugs und seiner Bedienung stellte CC im Benutzerhandbuch zusammen. Dieses Handbuch führt in die Grundzüge von SecFlow ein, geht auf die Funktionen seiner einzelnen Komponenten ein und leitet den Anwender – sei es ein Entwickler oder ein Betreuer eines ganzen Portfolios von Programmen – durch sein Analysevorhaben mit dem Werkzeug von der Konfiguration Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 17 von 27
Seite 1 und 2: PH_GE_Titelseite 3.0, Master V3.0,
Seite 3 und 4: Inhaltsverzeichnis 1 Kurze Darstell
Seite 5 und 6: 1.3 Planung und Ablauf des Vorhaben
Seite 7 und 8: Entgegen der ursprünglichen Planun
Seite 9 und 10: 2 Eingehende Darstellung 2.1 Erziel
Seite 11 und 12: � einem sprachunabhängigen Werkz
Seite 13 und 14: Die Filterkomponente (Filter Compon
Seite 15: dass eine Anbindung von PHP prinzip
Seite 19 und 20: Weiterhin wurden im Rahmen der Eval
Seite 21 und 22: verschiedener Programmiersprachen u
Seite 23 und 24: [Peine et al. 2006] H. Peine, S. Ma
Seite 25 und 26: 3 Literaturverzeichnis [Aho et al.
Seite 27: [Whaley&Lam 2004] J. Whaley, M. Lam

Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?