SFB 901 - Automatisierte Risikoanalyse in Bezug auf Open-Source-Abhängigkeiten (Hektor) (Transferproject T3)

Überblick

Dieses Transferprojekt baut auf der Forschung des Sonderforschungsbereichs 901 "On-The-Fly Computing" auf. Es erforscht, wie Techniken aus der Qualitätssicherung von Dienstleistungen in On-The-Fly-Dienstleistungsmärkten auf das drängende Problem des sicheren Managements von Open-Source-Abhängigkeiten in großen Software-Entwicklungsökosystemen angewendet werden können. Das Projekt zielt insbesondere darauf ab, neue Techniken zu erforschen, zu entwickeln und zu bewerten, um die Einbeziehung bekanntermaßen anfälliger Abhängigkeiten von Drittanbietern in Softwarekompositionen effizient und präzise zu erkennen und zu entschärfen. Das Projekt zielt darauf ab, eine Open-Source-Toolchain namens HEKTOR zu entwickeln, die die sichere Entwicklung von Anwendungen und Diensten unterstützt. Zu diesem Zweck baut das Projekt direkt auf den jüngsten Entwicklungen des CRC-Teilprojekts B4 auf, das vom PI Prof. Bodden mit geleitet wird. Diese Entwicklungen sollten im Prinzip eine präzise und effiziente Analyse von Software-Artefakten in großem Maßstab ermöglichen. Das Projekt zielt darauf ab, die entwickelten Techniken zu erweitern und ihre Wirksamkeit in einer realen Umgebung bei dem Partnerunternehmen SAP SE zu validieren. Das Werkzeug HEKTOR wird es Entwicklern ermöglichen, das mit der Verwendung von Abhängigkeiten von Drittanbietern verbundene Risiko zu bewerten. Durch neu entdeckte Techniken für ein effektives Fingerprinting wird HEKTOR in der Lage sein, Schwachstellen auch dann zuverlässig zu identifizieren, wenn der betreffende Code neu gepackt oder aus dem Quellcode neu kompiliert wurde - eine in der Praxis häufig anzutreffende Herausforderung. Darüber hinaus ermöglicht HEKTOR Entwicklern durch Gegenmaßnahmen wie die automatische Minimierung von Bibliotheken, die Angriffsfläche ihrer Anwendungen zu minimieren und deren Ausführung auch gegen bestimmte, noch unbekannte Schwachstellen wirksam abzusichern. In Zusammenarbeit mit SAP, einem weltweit führenden Unternehmen in der Entwicklung und Bereitstellung von Cloud-Diensten für den Business-to-Business-Bereich, wollen wir HEKTOR so implementieren und evaluieren, dass es in großem Maßstab und für eine Vielzahl von realen Softwareentwicklungsprojekten eingesetzt werden kann.

Key Facts

Art des Projektes:
Forschung
Laufzeit:
08/2021 - 09/2024
Beitrag zur Nachhaltigkeit:
Industrie, Innovation und Infrastruktur, Weniger Ungleichheiten, Frieden, Gerechtigkeit und starke Institutionen
Gefördert durch:
DFG
Website:
Homepage

Detailinformationen

Projektleitung

contact-box image

Prof. Dr. Eric Bodden

Heinz Nixdorf Institut

Zur Person

Kooperationspartner

SAP

Kooperationspartner

Zur Website

Publikationen

SootUp: A Redesign of the Soot Static Analysis Framework
K. Karakaya, S. Schott, J. Klauke, E. Bodden, M. Schmidt, L. Luo, D. He, in: Tools and Algorithms for the Construction and Analysis of Systems, Springer Nature Switzerland, Cham, 2024.
Java Bytecode Normalization for Code Similarity Analysis
S. Schott, S.E. Ponta, W. Fischer, J. Klauke, E. Bodden, in: 38th European Conference on Object-Oriented Programming (ECOOP 2024), 2024.
Benchmark Fuzzing for Android Taint Analyses
S. Schott, F. Pauck, in: 2022 IEEE 22nd International Working Conference on Source Code Analysis and Manipulation (SCAM), IEEE, 2023.
UpCy: Safely Updating Outdated Dependencies
A.P. Dann, B. Hermann, E. Bodden, (2023).
Identifying Challenges for OSS Vulnerability Scanners - A Study & Test Suite
A.P. Dann, H. Plate, B. Hermann, S.E. Ponta, E. Bodden, IEEE Transactions on Software Engineering (2021) 1–1.
Alle Publikationen anzeigen