Andreas Dann promovierte erfolgreich zum Thema „Secure Use of Open-Source Software – A Systematic Study and Techniques for Java“ bei Prof. Dr. Eric Bodden. Dazu gratulieren wir herzlich!
Zusammenfassung der Arbeit:
Der Code moderner Software besteht häufig bis zu 75% aus Open-Source Software. Während die Integration von Open-Source Software es erlaubt, schnell neue Systeme zu programmieren, birgt sie auch das Risiko, bekannte Sicherheitslücken in eigene Systeme zu integrieren. Welche Konsequenzen Sicherheitslücken in eingebundener Open-Source Software haben, hat die Sicherheitslücke Log4Shell im Jahr 2021 gezeigt, durch die Systeme von Unternehmen wie Microsoft, Apple und Google, angreifbar waren.
In der Arbeit werden auf Basis einer industriellen Fallstudie Herausforderungen bei der sicheren Integration von Open-Source aufgezeigt. Darauf aufbauend werden der Benchmark Achilles und das Werkzeug UpCy entwickelt, um unsichere Open-Source Software zuverlässig zu identifizieren und automatisch zu aktualisieren ohne neue Fehler einzuführen. Abschließend werden mittels der entwickelten statischen Codeanalyse ModGuard Java Module bzgl. ihrer Fähigkeit analysiert, Open-Source Software so zu integrieren, dass das Risiko auftretender Sicherheitslücken minimiert wird.
