Beschreibung des Einsatzes von Werkzeugen für Sicherheitstests in Open Source

Die Arbeitsgruppe Software Engineering befasst sich unter anderem mit freier und Open Source Software (FOSS). Wie bei Produkten der industriellen Softwareentwicklung haben auch bei FOSS Sicherheitsaspekte (im Sinne von Security/Schutz) einen hohen Stellenwert.

Uns interessiert nun der Entwicklungsprozess sicherer Software und insbesondere Maßnahmen zur Vermeidung und Behandlung sicherheitsrelevanter Schwachstellen. Maßnahmen umfassen dabei sowohl Verhaltensweisen als auch Werkzeuge zur Unterstützung der Entwicklung sicherer Software.

Ziele

In Open Source Projekten finden bereits vielfach automatisierte Funktionstests Anwendung, z. B. mit JUnit [1] und Ant [2]. Daneben existieren Werkzeuge für Sicherheitstests, z. B. für statische Code-Analyse [3] oder zur Durchführung von Penetrationstests [4].

In dieser Arbeit sollen Werkzeuge zur Unterstützung der Entwicklung und des Betriebs sicherer Software diskutiert und deren Anwendung bei Open Source Projekten untersucht werden. Dies soll zu Empfehlungen führen, welche Werkzeuge sinnvoll automatisiert oder manuell verwendet werden können. Schließlich ist das Ziel, geeignete Werkzeuge bei einem ausgewählten Open Source Projekt anzuwenden mit der Absicht, sie dort zu etablieren.

Kernaufgaben

  • Erstellung einer Taxonomie über Werkzeuge zur Unterstützung der Entwicklung und des Betriebes sicherer Software.
  • Beschreibung des Einsatzes von Werkzeugen für Sicherheitstests in relevanten Open Source Projekten.
  • Auswahl eines Open Source Java-Projektes und Einbindung eines oder mehrerer geeigneter Werkzeuge zur Durchführung von Sicherheitstests.

Organisatorisches

  • Bearbeiter: Michael Osipov
  • Betreuer: Martin Gruhn
  • Abgabe: Juni 2008

Verweise

  1. JUnit. Online: http://www.junit.org/
  2. Ant. Online: http://ant.apache.org/
  3. Livshits, V. B. & Lam, M. S. Finding Security Errors in Java Programs with Static Analysis. Proceedings of the 14th Usenix Security Symposium, 2005, 271-286
  4. OWASP WebScarab Project. Online: http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

Ergebnis

Comments

 
Topic revision: r4 - 30 Nov 2009, GesineMilde
 
  • Printable version of this topic (p) Printable version of this topic (p)