Softwareentwickler sehen sich häufig mit komplexen technischen Herausforderungen konfrontiert, die sie aus verschiedenen Gründen mit unzulässigen Design-Workarounds und suboptimalen Implementierungen umgehen. Solche Kompromisse führen wahrscheinlich zu einer erheblichen Menge an technischen Schulden (Technical Debt, TD), d. h. zu Artefakten von geringer Qualität, die die künftige Wartung und Weiterentwicklung des entwickelten Systems beeinträchtigen können. TD ist ein seit langem bestehendes, wesentliches Problem in der modernen Softwareentwicklung, dessen Behebung Projekte im Durchschnitt schätzungsweise 1,5 Millionen US-Dollar kostet (was 27.500 Entwicklerstunden entspricht). Außerdem können dadurch ausnutzbare Fehler und Schwachstellen entstehen, die die Sicherheit von Softwaresystemen in hohem Maße beeinträchtigen können. Ein bedeutender Teil der TD-Forschung wurde dank der Quellenanalyse selbst zugegebener technischer Schuld (Self-Admitted Technical Debt, SATD) durchgeführt. Dabei handelt es sich um Artefakte wie Code-Kommentare und Commit-Nachrichten, in denen Entwickler häufig die Mängel ihrer Lösungen angeben. Die systematische Untersuchung von SATD hat dazu beigetragen, Fehler auf verschiedenen Ebenen zu identifizieren und zu charakterisieren, einschließlich Code, Design, Anforderungen und Dokumentation. Die Auswirkungen von TD auf die Sicherheit wurden von den Forschern jedoch nur wenig beachtet, so dass viele Fragen zu seiner Rolle bei der Entstehung von Software-Schwachstellen offen bleiben. Dieses Projekt will an der Spitze der TD-Sicherheitsforschung stehen, indem es den Schwerpunkt auf das entwicklerzentrierte SATD-Management verlagert. Insbesondere geht es darum, wie Sicherheitsschwächen, die innerhalb von SATD-Artefakten gemeldet werden, die rechtzeitige Identifizierung, Priorisierung und Rückzahlung von anfälligen TD-Instanzen unterstützen können. Zu diesem Zweck werden wir verwertbare Informationen über das Zusammenspiel zwischen sicherheitsrelevanten SATD und Software-Schwachstellen sammeln, indem wir (i) Open Source Software (OSS) Repositories durchsuchen und (ii) empirische Studien mit Entwicklern durchführen. Diese Erkenntnisse werden in die Entwicklung neuartiger, durch künstliche Intelligenz unterstützter Methoden und Werkzeuge für (i) die automatische Identifizierung solcher SATD-Instanzen, (ii) ihre Sicherheitsbewertung und (iii) ihre nahtlose Behebung umgesetzt.

DFG-Verfahren Sachbeihilfen