Agile modellgetriebene Entwicklung von Software Security & Privacy

En savoir plus sur le livre

Software Systeme sind allgegenwärtig und die Anforderungen an deren korrekte Funktionsweise steigen. Täglich werden im Schnitt 16 neue Sicherheitsanfälligkeiten in Softwareprodukten veröffentlicht, was die Nutzer hinsichtlich ihrer Privatsphäre besorgt. Diese Aspekte müssen in der Softwareentwicklung berücksichtigt werden. In dieser Arbeit werden die Security-Architektur, die korrekte Verarbeitung von Eingabedaten und die Privatsphäre der Nutzer untersucht. Modelle und ein agiler, modellgetriebener Entwicklungsansatz werden verwendet, um Security- und Privacy-Aspekte zu modellieren, analysieren und in ausführbare Systeme zu übersetzen. Die automatische Security-Architektur-Analyse von MontiSecArc hilft Entwicklern, Vulnerabilities zu identifizieren und zu beheben, basierend auf formalisierten Flaw Correction Patterns von Sicherheitsexperten. Diese Muster ermöglichen eine präzise Beschreibung und Kategorisierung bekannter Vulnerabilities. Zum Beispiel entstehen Injection Vulnerabilities wie Cross-Site-Scripting (XSS) durch unzureichendes oder falsches Encoding von Ausgabedaten. MontiCoder bietet einen Ansatz zur Generierung von Unparser und Parser, die kontextspezifisches Encoding und Decoding automatisch durchführen, um Injections zu verhindern. Zudem wird mit der Privacy Development Language (PDL) ein Ansatz vorgestellt, der Entwicklern mehr Transparenz und Entscheidungshoheit über die Datennutzung für Cloud-Service-Nutzer er