Soft­wa­re­sys­te­me "Si­cher by De­sign"

Die Fachgruppe "Secure Software Engineering" erforscht, entwickelt und bewertet Methoden und Werkzeuge, um Softwaresysteme von Grund auf sicher zu gestalten. In vielen im Einsatz befindlichen Softwareentwicklungsprozessen wird die Sicherheit von Softwaresystemen leider immer noch als nebensächlich behandelt. In Folge dessen werden Sicherheitsaspekte oft erst zu spät berücksichtigt, zu einem Zeitpunkt, in dem eine korrekte Absicherung des Systems schnell teuer wird. Die Folgen sind oft desaströs und der Auslöser für die heute vielfach beobachteten Datenlecks und anderen Sicherheitsvorfälle. Solche Vorfälle kosten die betroffenen Unternehmen letztendlich ihren Ruf und einen signifikanten Teil ihres Erlöses, von den eigentlichen Problemen, die durch Datendiebstahl entstehen ganz abgesehen.

Das Hauptziel der Fachgruppe liegt darin, solche Sicherheitsprobleme von vorne herein zu vermeiden, indem softwarelastige Systeme so entwickelt werden, dass Sicherheit von Anfang an ein fester Bestandteil des Entwicklungsprozesses ist. So entwickeln wir Methoden, mit denen Softwareentwickler Sicherheitsanforderungen ganzheitlich erfassen können, um dann mit Angriffsmodellen und Bedrohungsniveaus abzugleichen. In einem zweiten Schritt werden diese Anforderungen dann gegen die konkrete Implementierung im Programmcode verglichen. Hier setzen wir vor allem auch auf Werkzeuge zur automatisierten Codeanalyse, die sich beispielsweise Techniken der statischen oder dynamischen Analyse bedienen, aber auch auf Werkzeuge zur Generierung beweisbar sicheren Programmcodes aus abstrakten, teils menschenlesbaren Spezifikationen.

Unsere Arbeit umfasst u.a. folgende Forschungsthemen:

  • Statische und dynamische Programmanalyse
  • Automatisierte Erkennung von Softwareschwachstellen und Schadprogrammen
  • Sichere Softwareentwicklungsprozesse
  • Modellbasierte Entwicklung mechatronischer und eingebetteter Systeme sowie betrieblicher Informationssysteme

Tagungen unter Mitwirkung der Fachgruppe Secure Software Engineering

27.04.2025 - 03.05.2025

STA­TIC 2025 In­ter­na­ti­o­nal Work­shop on Ad­van­cing Sta­tic Ana­ly­sis for Re­se­a­r­chers and In­dus­try Prac­ti­ti­o­ners in Soft­ware…

Mehr erfahren
27.10.2024 - 31.10.2024

Soft­ware En­gi­nee­ring For­schungs­me­tho­den­trai­ning 2024

Mehr erfahren
07.10.2024 - 10.10.2024

IE­EE Se­cu­re De­ve­lop­ment Con­fe­rence

Mehr erfahren
25.09.2024 - 26.09.2024

hei­se devSec 2024

Mehr erfahren
16.09.2024 - 20.09.2024

In­ter­na­ti­o­nal Sym­po­si­um on Soft­ware Tes­ting and Ana­ly­sis (ISS­TA)

Mehr erfahren
14.04.2024 - 20.04.2024

46th In­ter­na­ti­o­nal Con­fe­rence on Soft­ware En­gi­nee­ring (IC­SE 2024)

Mehr erfahren
Weitere Veranstaltungen

Soft­ware-Werk­zeu­ge

Cheetah

Just-in-time Analyse

Mehr erfahren

CodeInspect

CodeInspect ist ein Reverse-Engineering Framework für Android und Java Applikationen.

Mehr erfahren

CogniCrypt

CogniCrypt ist ein statisches Analysewerkzeug zur Detektion von Falschverwendungen von kryptographischen APIs. CogniCrypt ist leicht anpassbar, da die Analyse in der domänenspezifischen Sprache CrySL mit Regeln zu den jeweiligen kryptographischen APIs konfiguriert wird.

Mehr erfahren

FlowDroid

FlowDroid ist ein kontext-, fluss-, feld- sowie objektsensitives und laufzeitbewusstes Werkzeug zur statischen Taint-Analyse für Android Applikationen.

Mehr erfahren

Phasar

Phasar ist ein neues statisches Codeanalyseframework basierend auf LLVM. Phasar bietet verschiedene Datenfluss-Solver an, die das vollautomatische Lösen beliebiger (entscheidbarer) Datenflussprobleme auf der LLVM Zwischen-Repräsentation (LLVM IR) erlauben.

Mehr erfahren

Soot

Soot ist eines der meistgenutzten Analyse- und Transformations-Frameworks für Java Bytecode und Sourcecode. Soot umfasst vielfältige Zwischen-Repräsentationen, die statische Programmanalyse so einfach wie möglich machen. Soot ist zwar nicht unsere eigene Entwicklung ist, wird aber von uns gewartet.

Mehr erfahren

SootUp

SootUp ist die neue Version des beliebten statischen Analyse-Frameworks Soot, mit einer komplett überarbeiteten Architektur.

Mehr erfahren

TamiFlex

TamiFlex ist unsere Lösung für das gefürchtete "reflection-problem" in statischer Programmanalyse für Java. Mit Hilfe von sog. Reflections können Java Programme Methoden aufrufen und auf Felder und Klassen indirekt zugreifen, indem sie einen String an eine spezielle Methode der Reflections-API weiterreichen.

Mehr erfahren

VisuFlow

VisuFlow ist eine Debugging-Umgebung für statische Datenflussanalyse basierend auf dem Soot Analyse-Framework.

Mehr erfahren