BMBF genehmigt das Projekt SoftSCheck
Im Rahmen des 15 Monate laufenden Projekts werden über 100 weltweit verfügbare Tools zum Threat Modeling und Fuzzing hinsichtlich ihrer Eignung für den Softwaretest insbesondere in der Softwareindustrie überprüft und bewertet.
Softwarehersteller werden damit in die Lage versetzt, Software-Design und Software-Tests wirkungsvoller und kostengünstiger mit den für ihre Aufgabenstellung geeigneten Tools durchzuführen und dadurch die Software sicherer zu machen: Mit Hilfe dieser Tools lassen sich bisher nicht erkannte Fehler und Sicherheitslücken erkennen.
Software kann nicht fehlerfrei erstellt werden. Trotz umfangreicher Tests sind sporadische Betriebsausfälle (Business Continuity) und unbeabsichtigter Datenabfluss die häufigsten Folgen sicherheitsrelevanter Fehler in Software und führen zu hohen Umsatzausfällen und zu Datenschutzproblemen. Und sie ermöglichen Computerspionage. Aus dieser Erkenntnis resultiert auch der komplett Projektname Rapid in-depth Analysis of Software-Vulnerabilities. Die beiden folgenden Verfahren können Tool-gestützt zur Entdeckung bisher nicht erkannter Programmfehler und Sicherheitslücken eingesetzt werden:
Threat Modeling unterstützt als heuristisches Verfahren die methodische Überprüfung eines Systementwurfs oder einer Architektur bereits in der Design-Phase. So können Fehler und insbesondere sicherheitsrelevante Fehler (Sicherheitslücken, Design Flaws, Angriffspunkte) identifiziert, bewertet und anschließend korrigiert werden. Dazu werden die Eingabeschnittstellen (attack surface) systematisch auf mögliche Angriffsmöglichkeiten untersucht.
Beim Fuzzing werden die Eingabeschnittstellen zu testender Programme mit (mehr oder weniger) zufälligen – oder auch zielgerichteten – Daten versorgt, um durch die Analyse undokumentierter und damit ungewollter Reaktionen des Programms, Programmierfehler und Sicherheitslücken zu erkennen. Dazu muss der Quellcode nicht offen vorliegen (black box Test). Die Qualität von Fuzzern hängt wesentlich von der Menge der zum Test eingesetzten Daten und der Qualität der erzeugten Eingabedaten ab.
Kooperationspartner im Projekt sind unter anderem die Gesellschaft für Informatik zusammen mit ihrer Schulungstochter Deutsche Informatik-Akademie (DIA), Microsoft Deutschland, SAP und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).
Ansprechpartner:
Prof. Dr. Hartmut Pohl
Hochschule Bonn-Rhein-Sieg
Fachbereich Informatik
Tel. 02241/865-204
E-Mail: hartmut.pohl@h-brs.de
Peter Sakal
Hochschule Bonn-Rhein-Sieg
Fachbereich Informatik
Tel. 02241/865-275
E-Mail: peter.sakal@h-brs.de
Media Contact
Weitere Informationen:
http://www.hochschule-bonn-rhein-sieg.deAlle Nachrichten aus der Kategorie: Informationstechnologie
Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.
Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.
Neueste Beiträge
Immunzellen in den Startlöchern: „Allzeit bereit“ ist harte Arbeit
Wenn Krankheitserreger in den Körper eindringen, muss das Immunsystem sofort reagieren und eine Infektion verhindern oder eindämmen. Doch wie halten sich unsere Abwehrzellen bereit, wenn kein Angreifer in Sicht ist?…
Durchbruch bei CRISPR/Cas
Optimierte Genschere erlaubt den stabilen Einbau von großen Genen. Großer Fortschritt an der CRISPR-Front. Wissenschaftlern des Leibniz-Instituts für Pflanzenbiochemie (IPB) ist es erstmals gelungen, sehr effizient große Gen-Abschnitte stabil und…
Rittal TX Colo: Das neue Rack für Colocation Data Center
Rittal TX Colo: Flexibel, skalierbar und zukunftssicher Mit der zunehmenden Digitalisierung und künftig auch immer mehr KI-Anwendungen steigt der Bedarf an Rechenleistung signifikant – und damit boomt der Colocation-Markt. Unternehmen…
