Software ist oft unnötigerweise unsicher, da viele Softwareentwickler nicht ausreichend mit Security vertraut sind, um folgende Herausforderungen zu bewältigen:1. Während der Entwicklung müssen sicherheitsrelevante Artefakte in den Entwicklungsprozess integriert werden.2. Fehler in der Entwicklung können Sicherheitsprobleme in der Anwendung verursachen. Die Problemanalyse soll Ursachen von Sicherheitsproblemen, die in der Entwicklung begründet sind, aufzeigen.3. Die Entwickler sollen aus den Entwicklungsüberlegungen und der Problemanalyse kontinuierlich lernen, damit sich die Vorfälle nicht wiederholen und sich die Sicherheit verbessert.Forschungsvision: Qualitätsmodelle werden verwendet, um sicherheitsrelevante Informationen auf mehreren Ebenen zu organisieren. Die Verfolgung sicherheitsrelevanter Aktivitäten anhand von Artefakten und eines Qualitätsmodells adressiert alle drei Kernherausforderungen auf einmal: Entwicklung, Problemanalyse und Lernen. Software-Organisationen sollen sicherheitsrelevante Spuren (Traces) hinterlassen, sie vergleichen und durch Soft Matching und intelligente Operationen wiederverwenden. Automatisierte Unterstützung und menschliches Urteilsvermögen sollen kombiniert und TraceSEC zu einem wahrhaft soziotechnischen Ansatz gemacht werden. TraceSEC führt eine besondere Art der soziotechnischen Erklärbarkeit von sicherheitsrelevanten Aktivitäten ein: die Fähigkeit einer Entwicklungsorganisation, ihren Mitgliedern zu erklären, warum eine bestimmte Sicherheitsmaßnahme ergriffen wurde, wie eine Schwachstelle entschärft wurde und wie die gemachten Erfahrungen mit anderen Entwicklern systematisch geteilt werden können. Wissenschaftliche Herausforderungen: Um eine hohe Sicherheit zu erreichen, müssen wir relevante Spuren, Artefakte und Aktivitäten identifizieren. Eine wissenschaftliche Herausforderung besteht darin, Kriterien dafür zu definieren. Relevante Spuren werden dann verknüpft, interpretiert und kombiniert, um semantisch sinnvolle Sammlungen von Spuren zu erhalten. Diese können miteinander verglichen werden, um Angriffspunkte für die Wiederverwendung zu finden. Zum Beispiel kann die Sammlung von Trace-Links aus früheren Projekten auf wiederkehrende Probleme oder auch auf dort entwickelte Lösungsmuster hinweisen. Wir nutzen das Wissen, das in Sammlungen von Spuren enthalten ist, zum Lernen wieder: Traces können gesammelt und in Beispiele für Sicherheitsprobleme aus realen Fällen umgewandelt werden.Wichtige Beiträge: Wir kombinieren Qualitätsmodelle und Rückverfolgung von Traces, um informelle und formelle Aktivitäten in einem sozio-technischen Umfeld abzudecken. Damit werden sicherheitsrelevante Aktivitäten erklärbarer und erlernbar. Wir planen, unseren Ansatz sowohl in Standard-/Wasserfall- als auch in agile Prozesse zu integrieren und zu untersuchen, wie gut die Methodik die Sicherheit der entwickelten Software unterstützt.

DFG-Verfahren Sachbeihilfen