Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
1.3 Planung und Ablauf <strong>des</strong> Vorhabens<br />
Die Planungen zum Projekt und seinem Ablauf sind im Rahmen <strong>des</strong> Projektantrages in Form<br />
der Vorhabenbeschreibung dargestellt worden. Das Vorhaben wurde inhaltlich in nachfolgende<br />
übergeordnete Arbeitspakete (Phasen) gegliedert:<br />
� Analyse und Konzeption<br />
� Entwicklung<br />
� Validierung<br />
� Verbreitung der Projektergebnisse<br />
Die Ausgestaltung der einzelnen Phasen im Projektverlauf wird in den nachfolgenden<br />
Abschnitten kurz beschrieben. Für eine detaillierte Darstellung der einzelnen Arbeiten wird<br />
auf die Zwischenberichte zum Projekt verwiesen.<br />
1.3.1 Analyse und Konzeption<br />
Dieses Arbeitspaket beinhaltete vor allem die problem- bzw. projektbezogene detaillierte<br />
Untersuchung von Themen zur Software-Sicherheit und die Ableitung von Anforderungen an<br />
das geplante Werkzeug basierend auf den Zielsetzungen <strong>des</strong> Projektes.<br />
IESE als Forschungspartner übernahm insbesondere die Erhebung und Definition von<br />
Anforderungen an eine werkzeuggestützte Datenflussanalyse. Durch <strong>CC</strong> wurden zum einen<br />
Anforderungen aus Sicht <strong>des</strong> Anwenders (z. B. hinsichtlich der Benutzerschnittstelle) zum<br />
anderen aber auch Anforderungen zu Architektur und Technologie erfasst und eine<br />
Abgrenzung <strong>des</strong> Vorhabens zu anderen, angrenzenden fachlichen Themengebieten<br />
vorgenommen. In enger Zusammenarbeit wurden von IESE und <strong>CC</strong> verschiedene<br />
Technologiealternativen recherchiert und hinsichtlich ihres Nutzens und der Einsatzfähigkeit<br />
für das Projekt bewertet. Die Technologierecherche und Potentialbewertung bildete die<br />
Basis für die Entscheidung zu einer Werkzeugarchitektur, die den Anforderungen an<br />
Sprachunabhängigkeit, Flexibilität der Analyseregeln und Modularität <strong>des</strong> Werkzeugframeworks<br />
genügt.<br />
In dieser Projektphase wurde zudem untersucht, welche sicherheitskritischen Datenquellen<br />
und -senken in den verschiedenen Programmierframeworks (Java/J2EE/JSP bzw.<br />
C#/.NET/ASP.NET) relevant sind. Dazu brachten insbesondere die Praxispartner ICT und<br />
SHE ihre Erfahrungen ein.<br />
Weiterhin wurden sprachspezifische Validierungsmuster erhoben, d. h. typische Programmcode-Sequenzen,<br />
die unsichere Datenflüsse durch Filterung oder Transformation in sichere<br />
Datenflüsse verwandeln. Entsprechende Quellcode-Beispiele wurden von den<br />
Anwendungspartnern aus real eingesetzter Software entnommen. Darauf aufbauend wurde<br />
versucht, die gefundenen Beispiele zu verallgemeinern, um grundlegende Gesetzmäßigkeiten<br />
ableiten zu können, und eine Beschreibungssprache für Datenflüsse und<br />
Validierungen zu entwerfen (FLOW).<br />
1.3.2 Entwicklung<br />
Aufgabenschwerpunkt <strong>des</strong> Arbeitspaketes "Entwicklung" war die Umsetzung der Konzepte<br />
und Entwürfe in ein funktionsfähiges Werkzeug (Implementierung).<br />
Dabei wurden von IESE in verschiedenen Sondierungsimplementierungen Technologiealternativen<br />
erprobt und schließlich die lauffähige Referenzimplementierung <strong>des</strong> Werkzeugs<br />
für die Quellsprache Java erstellt. Diese Lösung bildete die Basis für die Realisierung <strong>des</strong><br />
Werkzeugs und wurde von <strong>CC</strong> als Implementierungspartner adaptiert und erweitert. Damit<br />
wurde u. a. die Analyse von Programmiersprachen ermöglicht, die auf der .NET-Plattform<br />
von Microsoft implementiert sind (u. a. C#, Visual Basic .NET).<br />
Einen Teil der Implementierungsaktivitäten nahmen Test und Evaluierung der erstellten<br />
Softwarekomponenten sowie Fehlerkorrekturen und erforderliche Anpassungen ein. Gemäß<br />
Datei<br />
SecFlow_<strong>Gesamt</strong>schlussbericht_V10.odt<br />
Version<br />
1.0<br />
Datum<br />
2009-02-02<br />
Bearbeiter/in<br />
Dana Richter<br />
Seite<br />
5 von 27