Fraunhofer-Gesellschaft

Publica

Hier finden Sie wissenschaftliche Publikationen aus den Fraunhofer-Instituten.

SecFlow: Automatische Ermittlung sicherheitskritischer Datenflüsse in Quellcode

 
: Peine, H.; Mandel, S.; Richter, D.

Bundesministerium für Bildung und Forschung -BMBF-:
Forschungsoffensive "Software Engineering 2006" : Statuskonferenz 26.-28. Juni 2006, Leipzig
Leipzig, 2006
10 S.
Statuskonferenz Forschungsoffensive "Software Engineering 2006" <2006, Leipzig>
Deutsch
Konferenzbeitrag
Fraunhofer IESE ()
SecFlow; source code; security; static analysis; automatic detection technique; control flow; data flow

Abstract
Je stärker softwarebasierte Systeme in einer vernetzten Welt miteinander gekoppelt werden, desto mehr Angriffspunkte für böswillige Manipulationen entstehen auch, und desto weit reichender werden die möglichen Folgen eines solchen Angriffs für das Gesamtsystem. Die Sicherheit von Software gegen Angriffe rückt damit immer stärker ins Zentrum der Software-Entwicklung. Ein wichtiger Ansatz dabei ist der Einsatz von Werkzeugen zum automatischen Finden von Sicherheitsschwachstellen im Quelltext der Software, denn solche Werkzeuge lassen sich - problemlose Benutzbarkeit vorausgesetzt - einfach in einen Entwicklungsprozess integrieren und auch für bereits existierende (Legacy-) Software nutzen.
Innerhalb des Verbundprojektes SecFlow wird nun ein konfigurierbares, weitgehend programmiersprachenunabhängiges Rahmenwerk konzipiert, das bezüglich einer konfigurierbaren Programmierumgebung nicht vertrauenswürdige Eingabe- und Umgebungsdaten identifiziert, deren programminterne Verarbeitung verfolgt und so ermittelt, ob und wie solche Eingabedaten ungeprüft in sicherheitskritische Operationen der Software einfließen. Eine solche Analyse liefert Schwachstellen, die ganz maßgeblich für die Verwundbarkeit heutiger Software verantwortlich sind und die einem Großteil der bisher bekannt gewordenen Angriffe auf Software zugrunde liegen. Die tief greifende, systematische Analyse aller Datenflüsse der Anwendung auf Sicherheitsrelevanz und fehlende Datenvalidierung wird ein Alleinstellungsmerkmal des zu entwickelnden Werkzeugs sein. Die Sprachunabhängigkeit des angestrebten Frameworks stellt dabei eine Herausforderung dar, ist zugleich aber ein weiteres wesentliches Alleinstellungsmerkmal.

: http://publica.fraunhofer.de/dokumente/N-48319.html