Enabling the Information Transfer between Architecture and Source Code for Security Analysis

Viele Softwaresysteme müssen so konzipiert und entwickelt werden, dass bestimmte Sicherheitsanforderungen gewährleistet sind. Die Sicherheit kann auf verschiedenen Sichten auf das Softwaresystem spezifiziert werden, die unterschiedliche Arten von Informationen über das Softwaresystem enthalten. Daher muss eine Sicherheitsanalyse auf einer Sicht von den Sicherheitseigenschaften auf anderen Sichten ausgehen. Eine Sicherheitsanalyse auf einer anderen Sicht kann zur Überprüfung dieser Annahmen verwendet werden. Wir stellen einen Ansatz vor, der den Informationstransfer zwischen einer statischen Architekturanalyse und einer statischen, gitterbasierten Quellcodeanalyse ermöglicht. ... mehrDieser Ansatz kann verwendet werden, um die Annahmen in einem komponentenbasierten Architekturmodell zu reduzieren. In diesem Ansatz werden Voraussetzungen entwickelt, unter denen Informationen zwischen Sicherheitsanalysen ausgetauscht werden können. Wir betrachten die Architektur- und Quellcode-Sicherheitsanalyse als Black Boxes. Daher basiert der Informationstransfer zwischen den Sicherheitsanalysen auf einem Megamodell, das aus dem Architekturmodell, dem Quellcodemodell und den Ergebnissen der Quellcodeanalyse besteht. Die Machbarkeit dieses Ansatzes wird in einer Fallstudie mit Java Object-sensitive ANAlysis und Confidentiality4CBSE evaluiert. Die Auswertung zeigt, dass Informationen zwischen einer Architektur- und einer Quellcodeanalyse übertragen werden können. Der Informationstransfer deckt neue Sicherheitsverletzungen auf, die mit nur einer Sicherheitsanalyse nicht gefunden werden.

Many software systems have to be designed and developed in a way that specific security requirements are guaranteed. Security can be specified on different views of the software system that contain different kinds of information about the software system. Therefore, a security analysis on one view must assume security properties of other views. A security analysis on another view can be used to verify these assumptions. We provide an approach for enabling the information transfer between a static architecture analysis and a static, lattice-based source code analysis. This approach can be used to reduce the assumptions in a component-based architecture model. ... mehrIn this approach, requirements under which information can be transferred between the two security analyses are provided. We consider the architecture and source code security analysis as black boxes. Therefore, the information transfer between the security analyses is based on a megamodel consisting of the architecture model, the source code model, and the source code analysis results. The feasibility of this approach is evaluated in a case study using Java Object-sensitive ANAlysis and Confidentiality4CBSE. The evaluation shows that information can be transferred between an architecture and a source code analysis. The information transfer reveals new security violations which are not found using only one security analysis.