Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
[Livshits 2006] zum Beispiel sogenannte Derivation Descriptors, mit deren Hilfe die<br />
Datenfluss-Effekte von Methodenzugriffen charakterisiert werden. Eine konsequente<br />
Weiterentwicklung dieser Idee ist die in SecFlow entwickelte Sprache FLOW, die solche<br />
Spezifikationsmöglichkeiten in benutzerfreundlicherem Format ermöglicht.<br />
Die Arbeiten von Lam und Whaley [Whaley&Lam 2004] hatten ebenfalls großen Einfluss auf<br />
das SecFlow-Vorhaben. Die Bedeutung <strong>des</strong> Einsatzes einer deduktiven Datenbank mit der<br />
Formulierung von Analysestrategien über Datalog-Regeln wird auch durch die Fortführung<br />
der in Joeq verwendeten Ansätze durch Whaley unterstrichen [Whaley 2007].<br />
In Weiterführung dieser Ansätze wird in [Lam et al. 2008] vorgeschlagen, die statische mit<br />
der dynamischen Analyse zu verbinden. Dies stellt einen viel versprechenden Ansatz dar.<br />
Insbesondere für eine Erweiterung <strong>des</strong> SecFlow-Werkzeugs um die Analyse von<br />
Programmiersprachen, die für die Herstellung dynamischer Webseiten und Webanwendungen<br />
verwendet werden, ist ein Ansatz erforderlich, der die statische Datenflussanalyse<br />
mit anderen dynamischen Analyseverfahren kombiniert. Soll zur Laufzeit generierter<br />
Code auf seine Vertrauenswürdigkeit geprüft werden, muss dieser zuerst mit der bereits<br />
vorhandenen statischen Analyse ausfindig gemacht werden. Anschließend wird der dabei<br />
extrahierte Codeausschnitt für die erforderlichen dynamischen Tests vorbereitet und kann<br />
dann analysiert werden.<br />
Weiterhin wird durch führende Literatur <strong>des</strong> Compilerbaus [Knuth 2008, Aho et al. 2006]<br />
bestätigt, dass mit BDD auf eine Schlüsseltechnologie der IT gesetzt wurde. Durch die<br />
Einführung leistungsstarker moderner PCs rückt ein Einsatz von BDD auch für komplexe<br />
Aufgaben auf kleinen Systemen immer näher.<br />
Hinsichtlich <strong>des</strong> Wettbewerbs zu SecFlow auf Produktebene sind seit Projektbeginn einige<br />
Werkzeuge bekannt geworden, die sich mit der Analyse von Quellcode verschiedener<br />
Programmiersprachen beschäftigen. Es sind jedoch keine grundlegenden neuen<br />
Entwicklungen darunter, die bereits Lösungen für die mit SecFlow verbundenen<br />
Zielsetzungen bieten. Der innovative Gehalt <strong>des</strong> Vorhabens hat sich damit bestätigt.<br />
Die existierenden Werkzeuge sind zumeist sprachabhängig, zielen auf andere, nicht sicherheitsbezogene<br />
Schwachstellen im Quelltext oder verwenden Methoden zur Quelltextanalyse,<br />
die sich von den im SecFlow-Projekt verfolgten Lösungen zur statischen Datenflussanalyse<br />
unterscheiden. Lediglich Fortify [Fortify 2008] bietet mit der Source Code Analysis ein<br />
Werkzeug, das die internen Datenströme überwacht und analysiert. Sollte ein Datenstrom<br />
ungefiltert zu einem sicherheitsrelevanten Objekt gehen, wird eine Warnmeldung<br />
ausgegeben. Hiermit erfüllt Fortify die Anforderungen von SecFlow und ist als einziges der<br />
betrachteten Codeanalyse-Werkzeuge mit der gewünschten Endfunktionalität von SecFlow<br />
vergleichbar. Allerdings sind keine genauen Benchmark-Resultate zu Fortify veröffentlicht.<br />
Die wenigen verfügbaren Informationen deuten jedoch darauf hin, dass die Anwendung<br />
erheblich durch falsch-positive Befunde beeinträchtigt wird. Nach heutigem Stand der<br />
Bewertung ist davon auszugehen, dass sich SecFlow durch eine höhere Analysegenauigkeit<br />
auszeichnen wird. Nicht zuletzt wird sich aber SecFlow gegenüber dem hohen Kaufpreis von<br />
Fortify behaupten können.<br />
2.4 Erfolgte und geplante Veröffentlichungen <strong>des</strong> Ergebnisses<br />
Die wissenschaftlich-technischen Ergebnisse <strong>des</strong> <strong>Verbundprojektes</strong> wurden unter der<br />
Plattform www.sourceforge.net veröffentlicht. Dazu wurde ein entsprechen<strong>des</strong> Projekt<br />
eingerichtet und das SecFlow-Werkzeug zum Download für Dritte kostenlos bereitgestellt.<br />
Wichtige Informationen zum SecFlow-Projekt als auch SecFlow-Werkzeug sind zusätzlich<br />
auf der projekteigenen Internetseite www.secflow.de zusammengestellt.<br />
Neben den periodischen Zwischenberichten zum Stand <strong>des</strong> Vorhabens an den Projektträger<br />
sind seitens der Projektpartner während <strong>des</strong> Vorhabens folgende Publikationen und<br />
Dokumentationen entstanden:<br />
Datei<br />
SecFlow_<strong>Gesamt</strong>schlussbericht_V10.odt<br />
Version<br />
1.0<br />
Datum<br />
2009-02-02<br />
Bearbeiter/in<br />
Dana Richter<br />
Seite<br />
22 von 27