SFB 901 - Automatisierte Risikoanalyse in Bezug auf Open-Source-Abhängigkeiten (Hektor) (Transferproject T3)

Project Period: 2021-08-01 – 2024-09-30
Externally Funded
Alternative Name
CRC 901 - Automated risk analysis with respect to open-source dependencies (Hektor) (Transfer project T3)
Acronym
Reaktor
Coordinator
Ulf-Peter Schroeder
Principal Investigator
Eric Bodden
Department(s)
Secure Software Engineering / Heinz Nixdorf Institut
Description

Dieses Transferprojekt baut auf der Forschung des Sonderforschungsbereichs 901 "On-The-Fly Computing" auf. Es erforscht, wie Techniken aus der Qualitätssicherung von Dienstleistungen in On-The-Fly-Dienstleistungsmärkten auf das drängende Problem des sicheren Managements von Open-Source-Abhängigkeiten in großen Software-Entwicklungsökosystemen angewendet werden können. Das Projekt zielt insbesondere darauf ab, neue Techniken zu erforschen, zu entwickeln und zu bewerten, um die Einbeziehung bekanntermaßen anfälliger Abhängigkeiten von Drittanbietern in Softwarekompositionen effizient und präzise zu erkennen und zu entschärfen. Das Projekt zielt darauf ab, eine Open-Source-Toolchain namens HEKTOR zu entwickeln, die die sichere Entwicklung von Anwendungen und Diensten unterstützt. Zu diesem Zweck baut das Projekt direkt auf den jüngsten Entwicklungen des CRC-Teilprojekts B4 auf, das vom PI Prof. Bodden mit geleitet wird. Diese Entwicklungen sollten im Prinzip eine präzise und effiziente Analyse von Software-Artefakten in großem Maßstab ermöglichen. Das Projekt zielt darauf ab, die entwickelten Techniken zu erweitern und ihre Wirksamkeit in einer realen Umgebung bei dem Partnerunternehmen SAP SE zu validieren. Das Werkzeug HEKTOR wird es Entwicklern ermöglichen, das mit der Verwendung von Abhängigkeiten von Drittanbietern verbundene Risiko zu bewerten. Durch neu entdeckte Techniken für ein effektives Fingerprinting wird HEKTOR in der Lage sein, Schwachstellen auch dann zuverlässig zu identifizieren, wenn der betreffende Code neu gepackt oder aus dem Quellcode neu kompiliert wurde - eine in der Praxis häufig anzutreffende Herausforderung. Darüber hinaus ermöglicht HEKTOR Entwicklern durch Gegenmaßnahmen wie die automatische Minimierung von Bibliotheken, die Angriffsfläche ihrer Anwendungen zu minimieren und deren Ausführung auch gegen bestimmte, noch unbekannte Schwachstellen wirksam abzusichern. In Zusammenarbeit mit SAP, einem weltweit führenden Unternehmen in der Entwicklung und Bereitstellung von Cloud-Diensten für den Business-to-Business-Bereich, wollen wir HEKTOR so implementieren und evaluieren, dass es in großem Maßstab und für eine Vielzahl von realen Softwareentwicklungsprojekten eingesetzt werden kann.

Funding Organisation
Deutsche Forschungsgemeinschaft
Cooperator
SAP

2 Publications

2020 | Journal Article | LibreCat-ID: 13770
A Case for a New IT Ecosystem: On-The-Fly Computing
H. Karl, D. Kundisch, F. Meyer auf der Heide, H. Wehrheim, Business & Information Systems Engineering 62 (2020) 467–481.
LibreCat | Files available | DOI
 
2023 | Conference Paper | LibreCat-ID: 36848
Benchmark Fuzzing for Android Taint Analyses
S. Schott, F. Pauck, in: 2022 IEEE 22nd International Working Conference on Source Code Analysis and Manipulation (SCAM), IEEE, 2023.
LibreCat | DOI | Download (ext.)