Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Weitere Magazine

Empfehlungen

Info

[Livshits 2006] zum Beispiel sogenannte Derivation Descriptors, mit deren Hilfe die Datenfluss-Effekte von Methodenzugriffen charakterisiert werden. Eine konsequente Weiterentwicklung dieser Idee ist die in SecFlow entwickelte Sprache FLOW, die solche Spezifikationsmöglichkeiten in benutzerfreundlicherem Format ermöglicht. Die Arbeiten von Lam und Whaley [Whaley&Lam 2004] hatten ebenfalls großen Einfluss auf das SecFlow-Vorhaben. Die Bedeutung des Einsatzes einer deduktiven Datenbank mit der Formulierung von Analysestrategien über Datalog-Regeln wird auch durch die Fortführung der in Joeq verwendeten Ansätze durch Whaley unterstrichen [Whaley 2007]. In Weiterführung dieser Ansätze wird in [Lam et al. 2008] vorgeschlagen, die statische mit der dynamischen Analyse zu verbinden. Dies stellt einen viel versprechenden Ansatz dar. Insbesondere für eine Erweiterung des SecFlow-Werkzeugs um die Analyse von Programmiersprachen, die für die Herstellung dynamischer Webseiten und Webanwendungen verwendet werden, ist ein Ansatz erforderlich, der die statische Datenflussanalyse mit anderen dynamischen Analyseverfahren kombiniert. Soll zur Laufzeit generierter Code auf seine Vertrauenswürdigkeit geprüft werden, muss dieser zuerst mit der bereits vorhandenen statischen Analyse ausfindig gemacht werden. Anschließend wird der dabei extrahierte Codeausschnitt für die erforderlichen dynamischen Tests vorbereitet und kann dann analysiert werden. Weiterhin wird durch führende Literatur des Compilerbaus [Knuth 2008, Aho et al. 2006] bestätigt, dass mit BDD auf eine Schlüsseltechnologie der IT gesetzt wurde. Durch die Einführung leistungsstarker moderner PCs rückt ein Einsatz von BDD auch für komplexe Aufgaben auf kleinen Systemen immer näher. Hinsichtlich des Wettbewerbs zu SecFlow auf Produktebene sind seit Projektbeginn einige Werkzeuge bekannt geworden, die sich mit der Analyse von Quellcode verschiedener Programmiersprachen beschäftigen. Es sind jedoch keine grundlegenden neuen Entwicklungen darunter, die bereits Lösungen für die mit SecFlow verbundenen Zielsetzungen bieten. Der innovative Gehalt des Vorhabens hat sich damit bestätigt. Die existierenden Werkzeuge sind zumeist sprachabhängig, zielen auf andere, nicht sicherheitsbezogene Schwachstellen im Quelltext oder verwenden Methoden zur Quelltextanalyse, die sich von den im SecFlow-Projekt verfolgten Lösungen zur statischen Datenflussanalyse unterscheiden. Lediglich Fortify [Fortify 2008] bietet mit der Source Code Analysis ein Werkzeug, das die internen Datenströme überwacht und analysiert. Sollte ein Datenstrom ungefiltert zu einem sicherheitsrelevanten Objekt gehen, wird eine Warnmeldung ausgegeben. Hiermit erfüllt Fortify die Anforderungen von SecFlow und ist als einziges der betrachteten Codeanalyse-Werkzeuge mit der gewünschten Endfunktionalität von SecFlow vergleichbar. Allerdings sind keine genauen Benchmark-Resultate zu Fortify veröffentlicht. Die wenigen verfügbaren Informationen deuten jedoch darauf hin, dass die Anwendung erheblich durch falsch-positive Befunde beeinträchtigt wird. Nach heutigem Stand der Bewertung ist davon auszugehen, dass sich SecFlow durch eine höhere Analysegenauigkeit auszeichnen wird. Nicht zuletzt wird sich aber SecFlow gegenüber dem hohen Kaufpreis von Fortify behaupten können. 2.4 Erfolgte und geplante Veröffentlichungen des Ergebnisses Die wissenschaftlich-technischen Ergebnisse des Verbundprojektes wurden unter der Plattform www.sourceforge.net veröffentlicht. Dazu wurde ein entsprechendes Projekt eingerichtet und das SecFlow-Werkzeug zum Download für Dritte kostenlos bereitgestellt. Wichtige Informationen zum SecFlow-Projekt als auch SecFlow-Werkzeug sind zusätzlich auf der projekteigenen Internetseite www.secflow.de zusammengestellt. Neben den periodischen Zwischenberichten zum Stand des Vorhabens an den Projektträger sind seitens der Projektpartner während des Vorhabens folgende Publikationen und Dokumentationen entstanden: Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 22 von 27
[Peine et al. 2006] H. Peine, S. Mandel, D. Richter: SecFlow: Automatische Ermittlung sicherheitskritischer Datenflüsse in Quellcode. Statuskonferenz Forschungsoffensive "Software Engineering 2006", Juni 2006. [Mandel&Peine 2007] Stefan Mandel, Holger Peine: The SecFlow Source Code Security Checker: Current Problems and Solution Alternatives. 23. Annual Computer Security Application Conference (ACSAC’07), Miami, Florida, Dez. 2007. [Mandel&Jawurek 2008] Stefan Mandel und Marek Jawurek. FLOW – Eine Datenfluss-Beschreibungssprache für objektorientierte Programme. Bericht Nr. 086.08/D, Fraunhofer IESE, Kaiserslautern 2008. [Kalenborn et al. 2008] Axel Kalenborn, Gennadi Umansky SecFlow: Flow Beschreibung, Entwurf 2008 [Richter, Kienast 2008] D. Richter, J. Kienast: SecFlow: Automatische Ermittlung sicherheitskritischer Datenflüsse in Quellcode: Benutzerhandbuch, Wiesbaden, November 2008. Die wissenschaftlich-technischen Grundlagen des SecFlow-Projekts lieferten die Basis für zwei Lehrveranstaltungen zum Thema "Entwurf sicherer Software", die Dr. Peine im Sommersemester 2007 sowie im Wintersemester 2007/08 an den Hochschulen in Kaiserslautern durchführte. Beide Lehrveranstaltungen wurden von den Studierenden sehr gut angenommen und erhielten in Vorlesungsumfragen überdurchschnittliche Bewertungen, wozu sicher auch die aktuellen Bezüge zu den SecFlow-Arbeiten beigetragen haben. Dank dieser Lehrveranstaltungen konnte Fraunhofer IESE das Interesse der Studenten an SecFlow wecken und so fähige studentische Mitarbeiter rekrutieren, die mit ihren Projekt- und Diplomarbeiten zum Erfolg des Projekts beigetragen haben: [Hildenbrand 2008] Timo Hildenbrand: Sicherheitsbewertung von Datenflüssen in Java-Programmen. Diplomarbeit, Fraunhofer IESE / Technische Universität Kaiserslautern, April 2008. [Nicolay 2008] Joachim Nicolay: Entwicklung eines Compilerfrontends für PHP. Diplomarbeit, Fraunhofer IESE / Technische Universität Kaiserslautern, April 2008. [Storck 2008] Michael Storck: Erstellung von Codemodellen aus Bytecode. Projektarbeit, Fraunhofer IESE / Technische Universität Kaiserslautern, Juni 2008. [Wagner 2008] Andreas Wagner: Implementierung einer Werkzeugunterstützung zur Spezifikation und Visualisierung von Sicherheitsschwachstellen. Praktikumsbericht, Fraunhofer IESE / Fachhochschule Kaiserslautern, August 2008. Im Rahmen der Kooperation zwischen ICT und dem Lehrstuhl Wirtschaftsinformatik I der Universität Trier wurden zwei Studienprojektarbeiten erstellt: Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 23 von 27
Seite 1 und 2: PH_GE_Titelseite 3.0, Master V3.0,
Seite 3 und 4: Inhaltsverzeichnis 1 Kurze Darstell
Seite 5 und 6: 1.3 Planung und Ablauf des Vorhaben
Seite 7 und 8: Entgegen der ursprünglichen Planun
Seite 9 und 10: 2 Eingehende Darstellung 2.1 Erziel
Seite 11 und 12: � einem sprachunabhängigen Werkz
Seite 13 und 14: Die Filterkomponente (Filter Compon
Seite 15 und 16: dass eine Anbindung von PHP prinzip
Seite 17 und 18: Um den in der ersten Projektphase e
Seite 19 und 20: Weiterhin wurden im Rahmen der Eval
Seite 21: verschiedener Programmiersprachen u
Seite 25 und 26: 3 Literaturverzeichnis [Aho et al.
Seite 27: [Whaley&Lam 2004] J. Whaley, M. Lam

Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?