Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Softwaresicherheit zurückzuführen sind. Zudem treten viele Schwachstellen wiederholt auf.<br />
Das SecFlow-Werkzeug, in dem spezielles Wissen über Softwaresicherheit verankert ist,<br />
kann die mühsame und fehleranfällige Arbeit der programminternen Kontrolle und Analyse<br />
übernehmen. Damit ist es möglich, bereits bei der Entwicklung von Software potentielle<br />
sicherheitskritische Schwachstellen <strong>des</strong> im Entstehen befindlichen Systems vorab zu<br />
identifizieren und durch entsprechende Gegenmaßnahmen zu beseitigen. Der wirtschaftliche<br />
Erfolg liegt <strong>des</strong>halb vor allem auch bei den Benutzern von Web-Anwendungen, die höhere<br />
Qualität und Sicherheit erhalten.<br />
Neben den noch bestehenden Analysegrenzen (z. B. bei der Behandlung von Reflection<br />
oder Arrays) ist vorläufig der Einsatz <strong>des</strong> SecFlow-Frameworks noch durch ein hohes Maß<br />
an manuellen Tätigkeiten, notwendiger spezieller Kenntnis der zu analysierenden<br />
Anwendung selbst sowie der von ihr verwendeten externen Systeme als auch durch die<br />
Analysegeschwindigkeit beschränkt. Ein effektiver Einsatz <strong>des</strong> Werkzeugs ist derzeit für<br />
kleine bzw. mittelgroße Anwendungen möglich.<br />
Trotzdem wird das Werkzeug einen Beitrag leisten, um die entwickelten wissenschaftlichen<br />
und technischen Konzepte weiter in der IT-Welt zu verbreiten und damit die Herstellung von<br />
sicherer Software zu fördern. Die Verfügbarmachung <strong>des</strong> Werkzeug-Frameworks als<br />
Open Source sorgt für eine weite Streuung <strong>des</strong> im Tool enthaltenen Know-hows. Es<br />
gestattet unabhängigen Dritten die Erstellung eigener umgebungsspezifischer<br />
Weiterentwicklungen, was längerfristig zur Hebung <strong>des</strong> allgemeinen Qualitätsstandards der<br />
deutschen Software-Branche auf dem so wichtigen Feld der IT-Sicherheit beiträgt.<br />
2.2.2 Verwertbarkeit im Sinne <strong>des</strong> fortgeschriebenen Verwertungsplans<br />
Unabhängig von einer kommerziellen Verwertung der konkret entwickelten SecFlow-<br />
Komponenten ist die im Projekt erworbene Kompetenz im Bereich der fortschrittlichen<br />
Datenflussanalysen bzw. im Bereich der IT-Sicherheit eine wichtige Bereicherung für das<br />
Produkt- und Dienstleistungsportfolio aller beteiligten Technologie-, Anwendungs- und<br />
Forschungspartner. Alle Partner gehen davon aus, die erworbene Kompetenz in<br />
Kundenprojekten weiter erfolgreich einsetzen zu können.<br />
Zudem planen insbesondere die Partner ICT, SHE und <strong>CC</strong> das entstandene Werkzeug<br />
weiter zu nutzen. So zielt z. B. ICT auf eine Überprüfung der gesamten Software I<strong>CC</strong>ontent<br />
durch das SecFlow-Werkzeug, um so einen Sicherheitsvorsprung gegenüber vergleichbaren<br />
Anwendungen zu erlangen. Im Rahmen <strong>des</strong> Projektes konnten bereits verschiedene Module<br />
von I<strong>CC</strong>ontent auf potentielle Schwachstellen hin untersucht werden. Bei diesen Analysen<br />
konnten erfolgreich Schwachstellen lokalisiert, eingegrenzt und behoben werden. Damit<br />
konnte das SecFlow-Werkzeug seinen direkten Nutzen im Rahmen der Software-<br />
Entwicklung bereits beweisen. Diese Arbeiten sollen möglichst im Jahr 2009 abgeschlossen<br />
werden.<br />
Trotz <strong>des</strong> zusätzlichen Aufwands für die Erweiterung und Verbesserung <strong>des</strong> Werkzeugs<br />
nach Projektende wird <strong>CC</strong> die Ergebnisse <strong>des</strong> Projektes in die Erweiterung der existierenden<br />
<strong>CC</strong>-Produktpalette einfließen lassen und damit auch den Kompetenzbereich bei Analysewerkzeugen<br />
in Bezug auf das Qualitätsmerkmal Sicherheit und dabei schwerpunktmäßig auf<br />
die Sicherheit von Quellcode ausdehnen. Angestrebt wird dabei auch eine Kopplung <strong>des</strong><br />
SecFlow-Werkzeugs bzw. seiner Ausgaben mit bereits existierenden und am Markt<br />
etablierten <strong>CC</strong>-Produkten wie z. B. mit der Software zur statischen Programmanalyse<br />
<strong>CC</strong> AUDITOR. Dies bietet nicht nur bestehenden Kunden einen zusätzlichen Nutzwert der<br />
Produkte, sondern stellt gleichzeitig einen zusätzlichen Anreiz für Interessenten zum Einsatz<br />
eines <strong>CC</strong>-Werkzeuges dar. Insbesondere im Hinblick auf die wachsende Konkurrenz im<br />
Open-Source-Bereich geht <strong>CC</strong> davon aus, dass die erfolgreiche Anbindung <strong>des</strong> SecFlow-<br />
Werkzeuges an die <strong>CC</strong>-Produkte die Erhaltung der Wettbewerbsfähigkeit und die Sicherung<br />
der Marktposition der Produkte bedeuten.<br />
Zudem plant <strong>CC</strong>, einzelne Komponenten <strong>des</strong> SecFlow-Frameworks in anderen Zusammenhängen<br />
weiter zu nutzen. So wird z. B. angestrebt unter der Verwendung von Methoden und<br />
Technologien <strong>des</strong> CIL2QUAD-Compilers, Mechanismen zu entwickeln, die die Konvertierung<br />
Datei<br />
SecFlow_<strong>Gesamt</strong>schlussbericht_V10.odt<br />
Version<br />
1.0<br />
Datum<br />
2009-02-02<br />
Bearbeiter/in<br />
Dana Richter<br />
Seite<br />
20 von 27