Automated Mitigation of Confidentiality Violations in Software Architectures using Discrete Optimization

Die Identifizierung von Vertraulichkeitsverletzungen in Softwarearchitekturen zur Entwurfszeit ist ein gut erforschtes Problem.
Ihre automatische Behebung hingegen nicht. Methoden wie STRIDE und LINDDUN verwenden Datenflussdiagramme (DFDs), um Bedrohungen in einer frühen Phase des Entwicklungszyklus sichtbar zu machen.
Sobald jedoch eine Verletzung erkannt wird, müssen Softwarearchitekten nach wie vor manuell geeignete Gegenmaßnahmen bestimmen und anwenden: ein Prozess, der sowohl zeitaufwändig als auch fehleranfällig ist.

Diese Arbeit adressiert die Reparaturseite dieses Problems. ... mehr
Die zentrale Forschungsfrage lautet, welche diskrete Optimierungsmethode am besten geeignet ist, diese Aufgabe zu automatisieren.
Um sie ohne Vorwegnahme eines Ergebnisses zu beantworten, entwerfen wir eine neutrale vergleichende Untersuchung dreier Kandidaten: Branch and Bound, Integer Linear Programming (ILP) und evolutionäre Algorithmen.
Diese werden anhand von vier Kriterien bewertet: Optimalität, Laufzeitleistung, Erweiterbarkeit und Reproduzierbarkeit.
Die Untersuchung zeigt, dass ILP die einzige Methode ist, die alle vier Kriterien erfüllt, in erster Linie, weil die deklarative Problemformulierung die Regelspezifikation von der Lösung trennt, eine Trennung, die sich als wesentlich erweist, wenn Mitigationsstrategien erweitert oder angepasst werden müssen.

Aufbauend auf diesem Ergebnis implementieren wir einen ILP-basierten automatisierten Mitigationsansatz, der in das ARCoViA-System integriert ist.
Der Ansatz operiert auf DFDs, die mit labelbasierten Vertraulichkeitseinschränkungen annotiert sind.
Er enumeriert Kandidaten-Mitigationsstrategien über den gesamten Raum von Label-Additionen und -Löschungen, Knoten-Einfügungen und -Entfernungen sowie Fluss-Löschungen.
Diese Strategien werden zusammen mit ihren gegenseitigen Abhängigkeiten und Widersprüchen als boolesches ILP-Problem kodiert.
Der Solver liefert eine kostenminimale Reparatur, die anschließend automatisch auf das DFD angewendet wird.
Der technisch anspruchsvollste Aspekt dieses Entwurfs ist die Problemraumexploration, die die korrekte Enumeration aller anwendbaren Mitigationen sowie die präzise Repräsentation ihrer Beziehungen in der ILP-Kodierung umfasst.

Der vorherige SAT-basierte Ansatz, den diese Arbeit erweitert, ist auf rein additive Label-Änderungen beschränkt und kann komplexe Regelstrukturen in CNF-Form nur unzureichend ausdrücken.
Der vorliegende Ansatz hebt beide Einschränkungen auf.
Wir evaluieren ihn anhand von vier Zielen: Effektivität, Erweiterbarkeit, Kosten und Skalierbarkeit, unter Verwendung von DFD-Modellen aus dem MicroSecEnD-Datensatz.
Der Ansatz eliminiert alle erkannten Verletzungen, erzeugt Reparaturen, die etwa 73\% weniger invasiv sind als eine menschliche Baseline, und skaliert akzeptabel über alle untersuchten Dimensionen der Modellkomplexität hinweg.

Identifying confidentiality violations in software architectures at design time is a well-studied problem.
Fixing them automatically is not.
Frameworks such as STRIDE and LINDDUN use Data Flow Diagrams (DFDs) to expose threats at an early stage in the development lifecycle.
But once a violation is detected, software architects must still manually determine and apply the appropriate countermeasures, which is both a time-consuming and error-prone process.

This thesis addresses the repair side of the problem.
The central research question is which discrete optimisation method is best suited to automate this task. ... mehr
To answer it without presupposing an outcome, we design a comparative survey of three candidate methods: Branch and Bound, Integer Linear Programming (ILP), and Evolutionary Algorithms.
These are evaluated against four criteria: optimality, runtime performance, extensibility, and reproducibility.
The survey establishes ILP as the only method satisfying all four, primarily because its declarative problem formulation separates constraint specification from solving.
This separation proves essential when mitigation strategies must be extended or customised.

Building on this result, we implement an ILP-based automated mitigation approach integrated into the ARCoViA framework.
The approach operates on DFDs that are annotated with label-based confidentiality constraints.
It then enumerates candidate mitigation strategies across the full space of label additions and deletions, node insertions and removals, as well as flow deletions.
These strategies, along with their mutual dependencies and contradictions, are encoded into a Boolean ILP problem.
The solver yields a minimal-cost repair, which is then applied to produce a repaired DFD automatically.
The main engineering challenge is generating a complete and correct set of candidate mitigations and encoding their dependencies and contradictions without omissions.

The prior SAT-based approach, which this work extends, is limited to purely additive label changes and struggles to express richer constraint structures in CNF form.
The present approach removes both restrictions.
We evaluate it against four goals: effectiveness, extensibility, cost, and scalability, using DFD models from the MicroSecEnD benchmark.
The approach eliminates all detected violations, produces repairs that are approximately 73\% less invasive than a human baseline, and scales acceptably across all studied dimensions of model complexity.