SFB 901 - Automatisierte Risikoanalyse in Bezug auf Open-Source-Abhängigkeiten (Hektor) (Transferproject T3)
Dieses Transferprojekt baut auf der Forschung des Sonderforschungsbereichs 901 "On-The-Fly Computing" auf. Es erforscht, wie Techniken aus der Qualitätssicherung von Dienstleistungen in On-The-Fly-Dienstleistungsmärkten auf das drängende Problem des sicheren Managements von Open-Source-Abhängigkeiten in großen Software-Entwicklungsökosystemen angewendet werden können. Das Projekt zielt insbesondere darauf ab, neue Techniken zu erforschen, zu entwickeln und zu bewerten, um die Einbeziehung bekanntermaßen anfälliger Abhängigkeiten von Drittanbietern in Softwarekompositionen effizient und präzise zu erkennen und zu entschärfen. Das Projekt zielt darauf ab, eine Open-Source-Toolchain namens HEKTOR zu entwickeln, die die sichere Entwicklung von Anwendungen und Diensten unterstützt. Zu diesem Zweck baut das Projekt direkt auf den jüngsten Entwicklungen des CRC-Teilprojekts B4 auf, das vom PI Prof. Bodden mit geleitet wird. Diese Entwicklungen sollten im Prinzip eine präzise und effiziente Analyse von Software-Artefakten in großem Maßstab ermöglichen. Das Projekt zielt darauf ab, die entwickelten Techniken zu erweitern und ihre Wirksamkeit in einer realen Umgebung bei dem Partnerunternehmen SAP SE zu validieren. Das Werkzeug HEKTOR wird es Entwicklern ermöglichen, das mit der Verwendung von Abhängigkeiten von Drittanbietern verbundene Risiko zu bewerten. Durch neu entdeckte Techniken für ein effektives Fingerprinting wird HEKTOR in der Lage sein, Schwachstellen auch dann zuverlässig zu identifizieren, wenn der betreffende Code neu gepackt oder aus dem Quellcode neu kompiliert wurde - eine in der Praxis häufig anzutreffende Herausforderung. Darüber hinaus ermöglicht HEKTOR Entwicklern durch Gegenmaßnahmen wie die automatische Minimierung von Bibliotheken, die Angriffsfläche ihrer Anwendungen zu minimieren und deren Ausführung auch gegen bestimmte, noch unbekannte Schwachstellen wirksam abzusichern. In Zusammenarbeit mit SAP, einem weltweit führenden Unternehmen in der Entwicklung und Bereitstellung von Cloud-Diensten für den Business-to-Business-Bereich, wollen wir HEKTOR so implementieren und evaluieren, dass es in großem Maßstab und für eine Vielzahl von realen Softwareentwicklungsprojekten eingesetzt werden kann.
2 Publications
H. Karl, D. Kundisch, F. Meyer auf der Heide, H. Wehrheim, Business & Information Systems Engineering 62 (2020) 467–481.
S. Schott, F. Pauck, in: 2022 IEEE 22nd International Working Conference on Source Code Analysis and Manipulation (SCAM), IEEE, 2023.