ASKS

Ziel des Projektes ASKS (Architektur-basierte Sicherheitsanalyse geschäftskritischer Software-Systeme) ist die Sicherheitsanalyse geschäftskritischer Anwendungen (wie z.B. JEE- und .NET- Anwendungen). Die Software soll hierbei auf Basis der Software- Architektur analysiert werden. Dies ermöglicht eine  Fokussierung der Analysen auf sicherheitskritische Daten und Module.

Typische Sicherheitsprobleme, die mit diesem architektur-basierten Ansatz aufgedeckt werden können, sind:

1.      Fehlerhafte Rollenmodelle von JEE-Anwendungen,

2.      Fehlende Durchsetzung der Zugriffskontrolle und Umgehung von APIs,

3.      Sicherheitslücken durch fehlerhafte Vertrauensbeziehungen zwischen Software-Komponenten,

4.      Fehlender kryptographischer Schutz von Daten und Kommunikationskanälen,

5.      Verletzung der Grenzen von Vertrauensbereichen (compartments).

Die Sicherheitsanalysen werden mit Hilfe des Bauhaus-Werkezuges, eines Werkzeugkastens für das Reverse Engineering und Programmverstehen, umgesetzt. Insbesondere soll die Reflexionsanalyse eingesetzt werden, um Sicherheitsverletzungen wie z.B. die oben genannte Umgehung von APIs im Quelltext aufzudecken.

Laufzeit: 01.07.2010 - 30.06.2012
Projektpartner: Axivion GmbH, bos KG, BEO GmbH
Förderer: BMBF

Weitere Informationen: kommt noch