logo-it-sicherheitspreis-2014
5. Preis für IT Sicherheit - SPLift

2. Preis:

SPLlift: Hocheffiziente gleichzeitige Codeanalyse von Millionen von Softwarekonfigurationen

Der zweite Platz ging an Prof. Dr. Bodden, Prof. Dr. Mira Mezini (beide Technische Universität Darmstadt), Prof. Dr. Paolo Borba und Társis Tolêdo (beide Federal University of Pernambuco), Prof. Dr. Claus Brabrand (IT University of Copenhagen) und Prof. Dr. Márcio Ribeiro (Federal University of Alagoas). SPLlift ist eine neue Sicherheitsanalyse, die es erstmals möglich macht, mehrere Softwareprodukte gleichzeitig und automatisiert auf Schwachstellen zu untersuchen. Dadurch verkürzt SPLlift die benötigte Dauer der Sicherheitsanalysen von bisher Jahren auf Minuten.

Was ist das Ziel des Projekts?
Heutige Softwareprodukte werden normalerweise nicht von Grund auf neu entwickelt, sondern entstehen durch Erweiterung und Konfiguration bestehender Softwarebausteine. Dadurch teilen sich viele der Softwareprodukte einen Großteil des gemeinsamen Programm-Codes. Bisherige Sicherheitsanalysen nutzen diesen Umstand jedoch nicht aus: Statt gemeinsame Bestandteile nur einmal auf Schwachstellen zu untersuchen, werden sie bei der Analyse jedes Softwareprodukts erneut betrachtet – ein teurer Prozess. SPLlift ermöglicht es erstmals, eine ganze Menge von Softwareprodukten gleichzeitig und automatisiert auf Schwachstellen zu untersuchen.

Wie wird das Ziel erreicht?
Im Gegensatz zu früheren Verfahren erkennt SPLlift bei der Analyse Softwarebausteine, die in mehreren Produkten vorkommen, und untersucht diese nur ein einziges Mal. Wird eine Schwachstelle erkannt, erlaubt der Ansatz dennoch Rückschlüsse darauf, welche der analysierten Softwareprodukte die erkannte Schwachstelle enthalten.

Was ist an diesem Projekt besonders innovativ?
Empirische Studien zeigen, dass SPLlift die benötigte Dauer für die Sicherheitsanalysen großer Mengen von Softwareprodukten von ehemals Jahren auf nunmehr einige Minuten verkürzt. Dies ermöglicht erstmals Szenarien der Fehlerfrüherkennung, die vorher so nicht denkbar waren. Zudem lässt sich der Ansatz auf eine Vielzahl bestehender Algorithmen zur Sicherheitsanalyse anwenden.

 

Kontakt zu den Preisträgern:

Prof. Dr. Eric Bodden
Fraunhofer SIT & Technische Universität Darmstadt
E-Mail: eric.bodden@sit.fraunhofer.de