SecFlow: Automatische Ermittlung sicherheitskritischer Datenflüsse in Quellcode

Der Bericht fasst die Ergebnisse des Projekts »SecFlow« zusammen. Das Vorhaben mit einer Laufzeit von März 2006 bis November 2008 wurde im Rahmen der Forschungsoffensive »Software Engineering 2006« unter dem Themenschwerpunkt »Korrektheit, Sicherheit und Zuverlässigkeit von Systemen« mit Mitteln des Bundesministeriums für Bildung und Forschung (BMBF) unter dem Förderkennzeichen 01ISF09C gefördert. Ziel des Vorhabens war die Entwicklung und Erprobung eines Werkzeug-Frameworks zur Sicherheitsanalyse von Programm-Quelltexten in verschiedenen Programmiersprachen samt sprachspezifischen Plugin-Modulen. Das Werkzeug dient der Ermittlung von Datenflüssen, auf denen böswillige Eingaben und Umgebungsdaten ungeprüft sicherheitskritische Operationen des Zielprogramms beeinflussen können. Solche unsicheren Datenflüsse sind der maßgebliche Ansatzpunkt für Angriffe auf Software.