Von Paderborn ins Silicon Valley: Schwachstellen in Software-Programmen entdecken – m?glichst lange, bevor sie Schaden anrichten. Das Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM forscht an Methoden, um Softwarefehler bereits w?hrend der Entwicklung zu erkennen und zu beheben. Dabei arbeiten die Forscherinnen und Forscher mit Oracle, einem der weltweit gr??ten Software-Hersteller zusammen. Bereits zum zweiten Mal honoriert das Unternehmen aus dem Silicon Valley die Arbeit des Paderborner Forschungsinstituts mit dem ?Oracle Collaborative Research Award“ und einer F?rderung von 100.000 $.
Mit verschiedenen Kniffen wird Software heute gegen Angriffe von Hackern abgesichert, etwa durch komplexe Verschlüsselungen. Angesichts der voranschreitenden Vernetzung von privaten Ger?ten, aber auch von industriellen Maschinen, ist der Aspekt IT-Security notwendiger Bestandteil jedes Engineering-Projektes. Doch bei der sicheren Programmierung von Software und ihrer sp?teren Einrichtung sto?en selbst erfahrene Entwickler an ihre Grenzen. Studien belegen, dass korrekte und sichere Softwareimplementierung keine Selbstverst?ndlichkeit ist. Ein gro?es Problem ist hierbei die unsichere Nutzung von Kryptografie, also die Verschlüsselung von Informationen. Aktuelle Studien zeigen auch, dass beispielsweise die gro?e Mehrheit aller Smartphone-Applikationen kryptografische Funktionen auf unsichere Weise benutzt.
?Grammatikprüfung“ für Software
Um Software-Entwickler bei der sicheren Einrichtung von Programmen zu unterstützen, arbeitet das Fraunhofer IEM an Analysetools, die fehlerhafte Implementierung direkt erkennen. ?hnlich wie bei einer Rechtschreib- und Grammatikprüfung in Textverarbeitungsprogrammen erh?lt der Entwickler Hinweise auf Fehlerquellen. Die Analysetools geben direktes und pr?zises Feedback und stellen so beispielsweise die korrekte Benutzung von Verschlüsselungsalgorithmen in der Software sicher. ?Wir entdecken damit Softwarefehler, lange bevor sie Schaden anrichten k?nnen. Unternehmen profitieren von einer schnelleren und effizienteren Entwicklung und k?nnen ihren Kunden sichere Produkte von der ersten Version an anbieten“, erl?utert Senior-Expertin Dr. Claudia Priesterjahn die Methode, die sich Statische Codeanalyse nennt.
Oracle profitiert von der Arbeit des Fraunhofer IEM derzeit in einem konkreten Projekt. Im Fokus steht die Sicherheit der von Oracle entwickelten Java Runtime Bibliothek für Computerprogramme, die auf mehreren Milliarden Endger?ten wie Smartphones weltweit installiert ist. Um Schwachstellen aus der Java Runtime zu beheben, überarbeiten die Forscherinnen und Forscher Teile der Software-Architektur. Mithilfe der ?Grammatikprüfung“ identifizieren sie Sicherheitslücken und entwickeln automatische Analysen, die weitere ?hnliche Schwachstellen aufdecken. So minimieren sie die Wahrscheinlichkeit von Angriffen auf die weit verbreitete Software.
“Collaborative Research Award” geht zum zweiten Mal nach Paderborn
Der Software- und Hardware-Hersteller Oracle mit Sitz im Silicon Valley unterstützt die Arbeit des Fraunhofer IEM seit Mitte 2017. Bereits zum zweiten Mal erhalten die Wissenschaftlerinnen und Wissenschaftler den begehrten und mit jeweils 100.000 US-Dollar dotierten ?Oracle Collaborative Research Award“. ?Oracle erm?glicht uns eine praxisnahe Forschung und tiefe Einblicke in die Softwareentwicklungsprozesse eines Global Players. Für uns ist es eine sehr lohnenswerte Erfahrung, an der Sicherheit der Java Runtime mitarbeiten zu dürfen, denn die Ergebnisse, die wir hier erzielen, werden Millionen von Nutzern zugutekommen“, betont Prof. Eric Bodden, Direktor Softwaretechnik am Fraunhofer IEM und Leiter des gleichnamigen Lehrstuhls am Heinz Nixdorf Institut der Universit?t Paderborn.
Statische Codeanalyse am Fraunhofer IEM
Das Fraunhofer IEM unterstützt Unternehmen mit folgenden Leistungen:
Absicherung von Systemen gegen Cyberangriffe
Sicherstellung angemessener Verschlüsselung
für Entwickler: Werkzeuge zur Entwicklung angriffssicherer Software
individuell zugeschnittene angriffssichere Softwarel?sungen
Weitere Informationen zur Statischen Codeanalyse gibt es hier.