SFB 901 - Teilprojekt T5: Zuverlässige und automatisierte codebasierte Analyse von Open-Source-Abhängigkeiten (Reaktor)

Project Period: 2024-10-01 – 2026-09-30

Externally Funded

Details

Alternative Name

SFB 901 - Subproject T5: Reliable and automated code-based analysis of Open-Source Dependencies (Reaktor)

Coordinator

Ulf-Peter Schroeder

Principal Investigator

Eric Bodden

Department(s)

Secure Software Engineering / Heinz Nixdorf Institut

Description

Zusammenfassung des Teilprojekts T5

Dieses Transferprojekt baut auf Forschungen des Sonderforschungsbereichs 901 "On-The-Fly Computing" auf. In diesem Transferprojekt erforschen wir, wie Techniken aus der Qualitätssicherung von Diensten in On-The-Fly-Dienstleitungsmärkten auf das drängende Problem der sicheren Verwaltung von Open-Source-Abhängigkeiten in großen Softwareentwicklungsumgebungen zuverlässig und automatisiert angewendet werden können.

Insbesondere zielt das Projekt darauf ab, neuartige Techniken zu erforschen, zu entwickeln und zu bewerten, um die Erkennung und Minderung bekannter verwundbarer Dritanbieterabhängigkeiten innerhalb von Softwarekompositionen zu ermöglichen. Diese Techniken sollen zuverlässig auf groß angelegte Anwendungen in vollautomatisierter Weise angewendet werden können. Zu diesem Zweck soll das Projekt auf den Ergebnissen des Transferprojekts T3 des Sonderforschungsbereichs aufbauen, das von Prof. Bodden geleitet wird. Es wird das im Transferprojekt T3 entwickelte Tool HEKTOR erweitern und zusätzliche Funktionen hinzufügen, um die Analyse von groß angelegten Software-Systemen zu ermöglichen, die aktuelle Ansätze nicht bewältigen können. Das Projekt beabsichtigt, die entwickelten Techniken zu erweitern und ihre Wirksamkeit in einer realen Umgebung beim

Partnerunternehmen SAP SE zu validieren.

Das Tool REAKTOR wird Mitel bereitstellen, um die Entwicklung von Sicherheitslösungen zuverlässig zu verfolgen und sie in ihre Bytecode-Repräsentation umzuwandeln, um sie mit in den Anwendungen in Entwicklung enthaltenen Open-Source-Abhängigkeiten zuverlässig abgleichen zu können. Darüber hinaus wird durch gezielte Mikroausführung relevanter Codeabschnite auf bisher unerforschte dynamische Programmierungsmerkmale eingegangen, wodurch Lücken in der Erreichbarkeitsanalyse von HEKTOR geschlossen werden. Dies wird mit Hilfe eines Benchmark-Generators bewertet, der anspruchsvolle Testfälle mit einer vollständigen Basiswahrheit erzeugt. In Kombination mit dem Tool HEKTOR wird REAKTOR in der Lage sein, Schwachstellen zuverlässig und vollautomatisiert zu identifizieren, ihr potenzielles Ausmaß zu bewerten und die Angriffsfläche in groß angelegten Anwendungen zu minimieren, selbst wenn diese modifiziert sind.

In Zusammenarbeit mit SAP, einem weltweit führenden Unternehmen für die Entwicklung und Bereitstellung von Cloud-Services für Business-to-Business, streben wir an, REAKTOR so zu implementieren und zu evaluieren, dass es für den Einsatz in großem Maßstab und für eine große und vielfältige Auswahl an Softwareentwicklungsprojekten bereit ist.

Funding Organisation

Deutsche Forschungsgemeinschaft

Cooperator

SAP