Fraunhofer-Gesellschaft

Publica

Hier finden Sie wissenschaftliche Publikationen aus den Fraunhofer-Instituten.

Experiment zur Evaluation von Sicherheitsinspektionen mit Hilfe von Vulnerability Inspection Diagrams und abgeleiteten Inspektionsszenarien

 
: Feth, Denis
: Rombach, H. Dieter; Jawurek, Marek

Kaiserslautern, 2009, XI, 93 S.
Kaiserslautern, TU, Bachelor Thesis, 2009
Deutsch
Bachelor Thesis
Fraunhofer IESE ()
software security; controlled experiment; experimental evaluation; inspection effectiveness; inspection efficiency

Abstract
Bisher wurde die Überprüfung von Softwaredokumenten auf Sicherheitsschwachstellen ausschließlich von Sicherheitsexperten durchgeführt. Dies ist darin begründet, dass die Identifikation von Sicherheitsschwachstellen in der Regel einen hohen Grad an Fachwissen und Erfahrung erfordert. Da Sicherheitsexperten in der Praxis jedoch selten und somit teuer sind wurde nach Möglichkeiten gesucht, welche zumindest in weniger kritischen Projekten Alternativen zu den bisherigen Expertenreviews darstellen. Vor dem Hintergrund der hohen Komplexität moderner Software-systeme und der daraus resultierenden Anfälligkeit für Sicherheitsschwachstellen würde dies eine wichtige Unterstützung der Qualitätssicherung darstellen.
Im Rahmen des innereuropäischen SHIELDS-Projektes wurden diesbezüglich zwei neue Ansätze entwickelt. Diese sollen es ermöglichen auf Szenarien basierende Sicherheitsinspektionen mit Hilfe von Software-Entwicklern ohne Expertenwissen durchzuführen. Es handelt sich hierbei um
- Vulnerability Inspection Diagrams, sowie aus ihnen abgeleitete
- Sicherheitsinspektionsszenarien.
Im Rahmen dieser Arbeit wird der Grundstein für die Evaluation dieser Modelle gelegt, um deren Effektivität, Effizienz und Akzeptanz zu beurteilen. Hierzu wird ein kontrolliertes Experiment entworfen, geplant und alle zur Durchführung notwendigen Schritte werden erläutert. Des Weiteren werden entsprechende Dokumente für die Durchführung des Experiments bereitgestellt.
Bei dem Entwurf des Experiments wurden parallel zwei Ansätze verfolgt, welche eine einfache Anpassung des Experiments an abweichende Rahmenbedingungen ermöglichen. Je nach Qualifikation und Anzahl der Teilnehmer kann dazu zwischen einem Intra- und einem Extra-Subjekt-Entwurf mit entsprechenden Schulungen, Vorabtests und Dokumenten gewählt werden.

: http://publica.fraunhofer.de/dokumente/N-100692.html