@misc{57416,
  abstract     = {{The increased complexity of modern software has led to much more
sophisticated attack vectors. As a result, we require newer vulnerability detection
methods to ensure software security without compromising efficiency.
The Code Property Graph (CPG) is a program representation that provides a comprehensive overview of program behavior, combining abstract syntax trees, control flow
graphs, and program dependence graphs. With such a detailed data structure, we can
detect patterns that characterize known vulnerabilities and identify various security
threats. Querying the combined data structure instead of the individual graphs enables the detection of multidimensional scenarios.
This work aims to integrate the advantages of CPGs into software systems that utilize
the Jimple intermediate representation. We introduce JimNode, a novel approach for
generating CPGs specifically tailored to Jimple. Despite the model incompatibility, our
evaluation, which covered approximately 50,800 methods, reveals an 88.07% similarity
of the inter-statement edges compared to Joern, the state-of-the-art tool for CPG
generation. We provide a detailed analysis of our methodology and discuss why it is
better suited for Jimple programs than Joern’s language-agnostic approach.}},
  author       = {{Youkeim, Michael Hany Fawzy}},
  publisher    = {{Paderborn University}},
  title        = {{{Tailoring Code Property Graphs to Jimple}}},
  year         = {{2024}},
}

@phdthesis{20513,
  abstract     = {{Frühere Studien haben empirisch offenbart, dass Fehlbenutzungen von kryptographischen APIs in Softwareanwendungen weitverbreitet sind. Dies geschieht vor allem, weil Software-Entwickler_innen aufgrund schlechten API-Designs und fehlenden Kryptographiewissens Probleme bekommen, wenn sie versuchen kryptographische Features zu implementieren. Die Literatur liefert mehrere Ansätze und Vorschläge diese Probleme zu lösen, aber alle scheitern schlussendlich auf die eine oder andere Weise daran die Anforderungen der Entwickler_innenzu erfüllen. Das Resultat ist eine insgesamt lückenhafte Landschaft verschiedener nur wenigkomplementärer Ansätze.In dieser Arbeit adressieren wir das Problem kryptographischer Fehlbenutzungen systematischer durch CogniCrypt. CogniCrypt integriert verschiedene Arten von Tool Supportin einen gemeinsamen Ansatz, der Entwickler_innen davon befreit wissen zu müssen, wie diese APIs benutzt werden müssen. Zentral für unseren Ansatz ist CrySL, eine Beschreibungssprache,die die kognitive Lücke zwischen Kryptographie-Expert_innen und Software-Entwickler_innenüberbrückt. CrySL ermöglicht es Kryptographie-Expert_innen zu spezifizeren, wie die APIs,die sie bereitstellen, richtig benutzt werden. Wir haben einen Compiler für CrySL implementiert, der es erlaubt auf CrySL-Spezifikationen aufbauenden Tool Support zu entwickeln. Wir haben weiterhin die statische Analyse CogniCrypt_SAST und den Code-Generator CogniCrypt_GEN entwickelt. Schlussendlich haben wir CogniCrypt prototypisch implementiert und diesen Prototyp in einem kontrollierten Experiment evaluiert.
}},
  author       = {{Krüger, Stefan}},
  publisher    = {{Universitaetsbibliothek Paderborn}},
  title        = {{{CogniCrypt -- The Secure Integration of Cryptographic Software}}},
  year         = {{2020}},
}

@phdthesis{20521,
  author       = {{Gerking, Christopher}},
  publisher    = {{Paderborn University}},
  title        = {{{Model-Driven Information Flow Security Engineering for Cyber-Physical Systems}}},
  doi          = {{10.17619/UNIPB/1-1033}},
  year         = {{2020}},
}

@phdthesis{20524,
  author       = {{Nguyen Quang Do, Lisa}},
  publisher    = {{Universität Paderborn}},
  title        = {{{User-Centered Tool Design for Data-Flow Analysis}}},
  year         = {{2019}},
}

@phdthesis{20536,
  author       = {{Späth, Johannes}},
  publisher    = {{Universität Paderborn}},
  title        = {{{Synchronized Pushdown Systems for Pointer and Data-Flow Analysis}}},
  year         = {{2019}},
}

@phdthesis{20779,
  abstract     = {{Der hohe Grad an Innovation in mechatronischen Systemen führt zu sogenannten Cyber-Physical Systems (CPS). Diese haben eine komplexe Funktionalität und Kommunikation. Wie sicherheitskritisch solche Systeme sind, wird durch sogenannte Sicherheits-Integritätslevel (SIL) kategorisiert, die durch Normen wie der ISO 26262 definiert werden. Ein bestimmter SIL beschreibt nicht nur die Höhe des Gefährdungsrisikos, sondern diktiert auch den erforderlichen Grad an Sorgfalt bei der Entwicklung des Systems. Ein hoher SIL erfordert die Anwendung von Safety-Maßnahmen mit einem hohen Sorgfaltsgrad in allen Phasen der Entwicklung und impliziert daher einen hohen Safety-Aufwand. SIL-Tailoring ist ein Mittel um den Safety-Aufwand zu reduzieren, indem man Subsystemen geringere SILs zuordnet, falls sie von kritischeren Subsystemen getrennt sind oder redundante Safety-Anforderungen erfüllen. Um den nötigen Safety-Aufwand zu planen, sollten Möglichkeiten für SIL-Tailoring so früh wie möglich identifiziert werden - d.h. bereits in der Anforderungsanalyse. Durch die Komplexität von CPS, ist es schwierig valide SIL-Tailorings zu finden. Die Validität von SIL-Tailorings muss durch Analyse von Fehlerpropagierungspfaden geprüft und durch Argumente im Safety Case begründet werden. Der Beitrag dieser Dissertation ist ein systematischer, tool-unterstützter SIL-Tailoring-Prozess, der im Safety Requirements Engineering angewendet wird. Der Prozess nutzt eine modell-basierte, formale Anforderungsspezifikation und stellt einen Katalog von Anforderungsmustern bereit. Basierend auf diesen Anforderungen werden Fehlerpropagierungsmodelle generiert und Subsystemen automatisch SILs zugeordnet. Das minimiert den Sicherheitsanalyseaufwand. Aus den generierten Ergebnissen wird automatisch ein Safety Case mit Argumenten für die SIL-Tailoring-Validität abgeleitet.}},
  author       = {{Fockel, Markus}},
  publisher    = {{Fakultät für Elektrotechnik, Informatik und Mathematik, Universität Paderborn}},
  title        = {{{Safety Requirements Engineering for Early SIL Tailoring}}},
  doi          = {{10.17619/UNIPB/1-490}},
  year         = {{2018}},
}

@misc{1044,
  author       = {{Leer, Richard}},
  publisher    = {{Universität Paderborn}},
  title        = {{{Measuring Performance of a Static Analysis Framework with an application to Immutability Analysis}}},
  year         = {{2018}},
}

@misc{1045,
  author       = {{Strüwer, Jan Niclas}},
  publisher    = {{Universität Paderborn}},
  title        = {{{Interactive Data Visualization for Exploded Supergraphs}}},
  year         = {{2018}},
}

