SFB 901 - Automatisierte Risikoanalyse in Bezug auf Open-Source-Abh?ngigkeiten (Hektor) (Transferproject T3)

Dieses Transferprojekt baut auf der Forschung des Sonderforschungsbereichs 901 "On-The-Fly Computing" auf. Es erforscht, wie Techniken aus der Qualit?tssicherung von Dienstleistungen in On-The-Fly-Dienstleistungsm?rkten auf das dr?ngende Problem des sicheren Managements von Open-Source-Abh?ngigkeiten in gro?en Software-Entwicklungs?kosystemen angewendet werden k?nnen. Das Projekt zielt insbesondere darauf ab, neue Techniken zu erforschen, zu entwickeln und zu bewerten, um die Einbeziehung bekannterma?en anf?lliger Abh?ngigkeiten von Drittanbietern in Softwarekompositionen effizient und pr?zise zu erkennen und zu entsch?rfen. Das Projekt zielt darauf ab, eine Open-Source-Toolchain namens HEKTOR zu entwickeln, die die sichere Entwicklung von Anwendungen und Diensten unterstützt. Zu diesem Zweck baut das Projekt direkt auf den jüngsten Entwicklungen des CRC-Teilprojekts B4 auf, das vom PI Prof. Bodden mit geleitet wird. Diese Entwicklungen sollten im Prinzip eine pr?zise und effiziente Analyse von Software-Artefakten in gro?em Ma?stab erm?glichen. Das Projekt zielt darauf ab, die entwickelten Techniken zu erweitern und ihre Wirksamkeit in einer realen Umgebung bei dem Partnerunternehmen SAP SE zu validieren. Das Werkzeug HEKTOR wird es Entwicklern erm?glichen, das mit der Verwendung von Abh?ngigkeiten von Drittanbietern verbundene Risiko zu bewerten. Durch neu entdeckte Techniken für ein effektives Fingerprinting wird HEKTOR in der Lage sein, Schwachstellen auch dann zuverl?ssig zu identifizieren, wenn der betreffende Code neu gepackt oder aus dem Quellcode neu kompiliert wurde - eine in der Praxis h?ufig anzutreffende Herausforderung. Darüber hinaus erm?glicht HEKTOR Entwicklern durch Gegenma?nahmen wie die automatische Minimierung von Bibliotheken, die Angriffsfl?che ihrer Anwendungen zu minimieren und deren Ausführung auch gegen bestimmte, noch unbekannte Schwachstellen wirksam abzusichern. In Zusammenarbeit mit SAP, einem weltweit führenden Unternehmen in der Entwicklung und Bereitstellung von Cloud-Diensten für den Business-to-Business-Bereich, wollen wir HEKTOR so implementieren und evaluieren, dass es in gro?em Ma?stab und für eine Vielzahl von realen Softwareentwicklungsprojekten eingesetzt werden kann.