Iterative Quelltextanalyse für Informationsflusssicherheit zur Überprüfung von Vertraulichkeit auf Architekturebene

Heutige Softwaresysteme, die Daten mit unterschiedlicher Vertraulichkeit verarbeiten, müssen strenge Sicherheitsanforderungen erfüllen. Sicherheitsanalysen sollten bereits in der Entwurfsphase auf Architekturebene eingeplant werden, da Fehlerbehebungen ein wachsender Kostenfaktor sind, je später sie im Entwicklungsprozess durchgeführt werden.

Auch wenn Architekturanalysen Verletzungen von Sicherheitsspezifikationen früh aufdecken können, schließt ein vermeintlich sicherer Entwurf nicht aus, dass zusätzliche Schwachstellen erst durch die Implementierung in das System gelangen. ... mehrDaher gibt es Kopplungsansätze, die aus Quelltextanalysen gewonnene Implementierungsdetails in die Architekturanalyse einbinden. So werden Schwachstellen aufgedeckt, die ohne Kopplung unentdeckt bleiben.

Bisherige Kopplungsansätze führen die Quelltextanalyse jedoch nur einmalig durch und projizieren alle Ergebnisse auf einmal zurück in die Architektursicht. Hierbei gab es Indikatoren, dass es in einigen Anwendungsszenarien durch die einmalige Ausführung zu Genauigkeits-, Performanz-, und Skalierbarkeitsproblemen kommt.

Diese Masterarbeit adressiert die Probleme mit einem iterativen Ansatz, der die Informationen für die Quelltextanalyse partitioniert und die Analyse damit mehrfach ausführt. Da die Genauigkeit für manche Sicherheitsbegriffe außerdem von der Zusammenführung der Implementierungsdetails abhängt, kann die Architekturanalyse im iterativen Ansatz auch mehrfach auf einzelnen dieser Details ausgeführt werden.

Der iterative Ansatz wurde fallstudienbasiert evaluiert, um die Auswirkung auf Genauigkeit, Performanz und Skalierbarkeit im Vergleich zum nicht-iterativen Ansatz zu überprüfen. Im Bereich der Genauigkeit hat sich die Sensitivität gefundener Verletzungen in der Architektur erhöht, z. B. in Verbindung mit der Quelltextanalyse JOANA von 0,3 auf 0,95. Mit der steigenden Anzahl an Analysedurchführungen im iterativen Ansatz verlängert sich die Ausführungszeit, was die Performanz vermindert. Jedoch erlaubt der iterative gegenüber dem nicht-iterativen Ansatz größere Eingaben, wie sich in der Skalierbarkeitsevaluation gezeigt hat.

Modern software systems that process data with varying levels of confidentiality must meet strict security requirements. Security analyses should already be considered during the design phase at the architectural level, as fixing errors becomes increasingly costly the later they are addressed in the development process. Even though architectural analyses can detect violations of security specifications early on, a supposedly secure design does not guarantee that additional vulnerabilities won’t be introduced during implementation.

Therefore, coupling approaches have been developed that incorporate implementation details—obtained through source code analysis—into the architectural analysis. ... mehrThis allows for the detection of vulnerabilities that would remain hidden without such coupling.

However, previous coupling approaches perform source code analysis only once and project all results back into the architectural view at once. There have been indications that this one-time execution can lead to issues with accuracy, performance, and scalability in certain application scenarios.

This master’s thesis addresses these problems with an iterative approach, which partitions the information for source code analysis and executes the analysis multiple times. Since the accuracy of some security concepts also depends on how implementation details are combined, the architectural analysis can also be executed multiple times on individual subsets of those details within the iterative approach.

The iterative approach was evaluated using case studies to assess its impact on accuracy, performance, and scalability compared to the non-iterative approach. In terms of accuracy, the sensitivity of detected violations in the architecture increased—for example, in combination with the JOANA source code analysis tool, from 0.3 to 0.95. With an increasing number of analysis executions in the iterative approach, execution time also increases, which affects performance. However, unlike the non-iterative approach, the iterative one allows for larger input sizes, as demonstrated in the scalability evaluation.