SFB 901 - Zuverl?ssige und automatisierte codebasierte Analyse von Open-Source-Abh?ngigkeiten (Reaktor) (Transferprojekt T5)

Zusammenfassung des Teilprojekts T5

Dieses Transferprojekt baut auf Forschungen des Sonderforschungsbereichs 901 "On-The-Fly Computing" auf. In diesem Transferprojekt erforschen wir, wie Techniken aus der Qualit?tssicherung von Diensten in On-The-Fly-Dienstleitungsm?rkten auf das dr?ngende Problem der sicheren Verwaltung von Open-Source-Abh?ngigkeiten in gro?en Softwareentwicklungsumgebungen zuverl?ssig und automatisiert angewendet werden k?nnen.

Insbesondere zielt das Projekt darauf ab, neuartige Techniken zu erforschen, zu entwickeln und zu bewerten, um die Erkennung und Minderung bekannter verwundbarer Dritanbieterabh?ngigkeiten innerhalb von Softwarekompositionen zu erm?glichen. Diese Techniken sollen zuverl?ssig auf gro? angelegte Anwendungen in vollautomatisierter Weise angewendet werden k?nnen. Zu diesem Zweck soll das Projekt auf den Ergebnissen des Transferprojekts T3 des Sonderforschungsbereichs aufbauen, das von Prof. Bodden geleitet wird. Es wird das im Transferprojekt T3 entwickelte Tool HEKTOR erweitern und zus?tzliche Funktionen hinzufügen, um die Analyse von gro? angelegten Software-Systemen zu erm?glichen, die aktuelle Ans?tze nicht bew?ltigen k?nnen. Das Projekt beabsichtigt, die entwickelten Techniken zu erweitern und ihre Wirksamkeit in einer realen Umgebung beim

Partnerunternehmen SAP SE zu validieren.

Das Tool REAKTOR wird Mitel bereitstellen, um die Entwicklung von Sicherheitsl?sungen zuverl?ssig zu verfolgen und sie in ihre Bytecode-Repr?sentation umzuwandeln, um sie mit in den Anwendungen in Entwicklung enthaltenen Open-Source-Abh?ngigkeiten zuverl?ssig abgleichen zu k?nnen. Darüber hinaus wird durch gezielte Mikroausführung relevanter Codeabschnite auf bisher unerforschte dynamische Programmierungsmerkmale eingegangen, wodurch Lücken in der Erreichbarkeitsanalyse von HEKTOR geschlossen werden. Dies wird mit Hilfe eines Benchmark-Generators bewertet, der anspruchsvolle Testf?lle mit einer vollst?ndigen Basiswahrheit erzeugt. In Kombination mit dem Tool HEKTOR wird REAKTOR in der Lage sein, Schwachstellen zuverl?ssig und vollautomatisiert zu identifizieren, ihr potenzielles Ausma? zu bewerten und die Angriffsfl?che in gro? angelegten Anwendungen zu minimieren, selbst wenn diese modifiziert sind.

In Zusammenarbeit mit SAP, einem weltweit führenden Unternehmen für die Entwicklung und Bereitstellung von Cloud-Services für Business-to-Business, streben wir an, REAKTOR so zu implementieren und zu evaluieren, dass es für den Einsatz in gro?em Ma?stab und für eine gro?e und vielf?ltige Auswahl an Softwareentwicklungsprojekten bereit ist.