SFB 901 - Automatisierte Risikoanalyse in Bezug auf Open-Source-Abh?ngigkeiten (Hektor) (Transferproject T3)

?berblick

Dieses Transferprojekt baut auf der Forschung des Sonderforschungsbereichs 901 "On-The-Fly Computing" auf. Es erforscht, wie Techniken aus der Qualit?tssicherung von Dienstleistungen in On-The-Fly-Dienstleistungsm?rkten auf das dr?ngende Problem des sicheren Managements von Open-Source-Abh?ngigkeiten in gro?en Software-Entwicklungs?kosystemen angewendet werden k?nnen. Das Projekt zielt insbesondere darauf ab, neue Techniken zu erforschen, zu entwickeln und zu bewerten, um die Einbeziehung bekannterma?en anf?lliger Abh?ngigkeiten von Drittanbietern in Softwarekompositionen effizient und pr?zise zu erkennen und zu entsch?rfen. Das Projekt zielt darauf ab, eine Open-Source-Toolchain namens HEKTOR zu entwickeln, die die sichere Entwicklung von Anwendungen und Diensten unterstützt. Zu diesem Zweck baut das Projekt direkt auf den jüngsten Entwicklungen des CRC-Teilprojekts B4 auf, das vom PI Prof. Bodden mit geleitet wird. Diese Entwicklungen sollten im Prinzip eine pr?zise und effiziente Analyse von Software-Artefakten in gro?em Ma?stab erm?glichen. Das Projekt zielt darauf ab, die entwickelten Techniken zu erweitern und ihre Wirksamkeit in einer realen Umgebung bei dem Partnerunternehmen SAP SE zu validieren. Das Werkzeug HEKTOR wird es Entwicklern erm?glichen, das mit der Verwendung von Abh?ngigkeiten von Drittanbietern verbundene Risiko zu bewerten. Durch neu entdeckte Techniken für ein effektives Fingerprinting wird HEKTOR in der Lage sein, Schwachstellen auch dann zuverl?ssig zu identifizieren, wenn der betreffende Code neu gepackt oder aus dem Quellcode neu kompiliert wurde - eine in der Praxis h?ufig anzutreffende Herausforderung. Darüber hinaus erm?glicht HEKTOR Entwicklern durch Gegenma?nahmen wie die automatische Minimierung von Bibliotheken, die Angriffsfl?che ihrer Anwendungen zu minimieren und deren Ausführung auch gegen bestimmte, noch unbekannte Schwachstellen wirksam abzusichern. In Zusammenarbeit mit SAP, einem weltweit führenden Unternehmen in der Entwicklung und Bereitstellung von Cloud-Diensten für den Business-to-Business-Bereich, wollen wir HEKTOR so implementieren und evaluieren, dass es in gro?em Ma?stab und für eine Vielzahl von realen Softwareentwicklungsprojekten eingesetzt werden kann.

Key Facts

Art des Projektes:
Forschung
Laufzeit:
08/2021 - 09/2024
Beitrag zur Nachhaltigkeit:
Industrie, Innovation und Infrastruktur, Weniger Ungleichheiten, Frieden, Gerechtigkeit und starke Institutionen
Gef?rdert durch:
DFG
Website:
Homepage

Detailinformationen

Projektleitung

contact-box image

Prof. Dr. Eric Bodden

Heinz Nixdorf Institut

Zur Person

Kooperationspartner

SAP

Kooperationspartner

Zur Website

Publikationen

SootUp: A Redesign of the Soot Static Analysis Framework
K. Karakaya, S. Schott, J. Klauke, E. Bodden, M. Schmidt, L. Luo, D. He, in: Tools and Algorithms for the Construction and Analysis of Systems, Springer Nature Switzerland, Cham, 2024.
Java Bytecode Normalization for Code Similarity Analysis
S. Schott, S.E. Ponta, W. Fischer, J. Klauke, E. Bodden, in: 38th European Conference on Object-Oriented Programming (ECOOP 2024), 2024.
Benchmark Fuzzing for Android Taint Analyses
S. Schott, F. Pauck, in: 2022 IEEE 22nd International Working Conference on Source Code Analysis and Manipulation (SCAM), IEEE, 2023.
UpCy: Safely Updating Outdated Dependencies
A.P. Dann, B. Hermann, E. Bodden, (2023).
Identifying Challenges for OSS Vulnerability Scanners - A Study & Test Suite
A.P. Dann, H. Plate, B. Hermann, S.E. Ponta, E. Bodden, IEEE Transactions on Software Engineering (2021) 1–1.
Alle Publikationen anzeigen