Software begegnet uns fast überall in unserem Alltag: Wir öffnen unsere E-Mails auf dem Smartphone, bezahlen kontaktlos beim Einkaufen oder buchen einen Flug für unseren nächsten Urlaub.
Daher ist die Entwicklung sicherer Software von großer Bedeutung. Aber wie kann man sicher sein, dass die Software sicher funktioniert?
Mit Hilfe von statischer Programmanalyse kann man das herausfinden und auch Sicherheitslücken aufdecken. Dadurch kann man ebenso Cyberangriffe mit einhergehenden Millionenverlusten vermeiden.
Es gibt viele Tools zur statischen Programmanalyse. Der Code wird dabei analysiert - ohne den Code aber auszuführen.
Aufgrund der hohen Vielzahl an Tools ist es jedoch gleichzeitig für viele Software-Ingenieur*innen schwierig, das passende Tool zu finden. Zudem enthalten diese Tools wiederum eine Menge an Optionen, die manuell gewählt werden müssen. An der Stelle soll das Projekt SOSA unserer Fachgruppe “Secure Software Engineering” ansetzen.
Mit SOSA können die Software-Ingenieur*innen den Code vorgeben, der analysiert werden soll. Jedoch werden das Tool und die Optionen nicht mehr manuell gewählt: SOSA erledigt das, indem SOSA das optimale Tool je nach Kontext wählt und konfiguriert. Dieser Ansatz funktioniert durch Automatisierung.
SOSA soll sich zudem ihren Handlungen selbst bewusst sein, um so den Programmcode schneller und effizienter zu analysieren. Das bedeutet, dass SOSA verstehen soll, wie gut die Analyse ist und warum. Dadurch versteht SOSA den Kontext besser, um bei den nächsten Analysen besser zu entscheiden, welches Tool sich mit welchen Optionen bestens eignet.
Ziel des Projekts ist es, Software-Ingenieur*innen bei ihren Entscheidungen zu helfen und effektiver Sicherheitslücken zu finden.
Das Thema ist relevanter denn je: 2023 hat die EU den Cyber Resilience Act (CRA) verordnet. Damit wird geregelt, dass Produkte mit digitaler Software gewisse Cybersicherheitsanforderungen erfüllen müssen. Der CRA gilt ab Dezember 2027.
Mehr zum Projekt unserer Fachgruppe “Secure Software Engineering” gibt es hier.
