Domain-Specific Languages for Model-Driven Security Engineering

  • Hoisl, Bernhard (Projektleitung)

Projektdetails

Beschreibung

Sicherheitsprobleme und -lücken in Softwareprodukten sind ein allgegenwärtiges Problem in unserer technologiebasierten Gesellschaft. Täglich werden verschiedenste Arten von Software eingesetzt. Aufgrund dessen sind vertrauensstiftende Maßnahmen ein Muss. In bestehenden Softwareentwicklungsprozessen wird jedoch dem Auffinden von Sicherheitsproblemen und dem Testen von sicherheitsrelevanten Softwareteilen zu wenig Beachtung geschenkt. Sicherheitsfeatures werden meist ad-hoc und nur in den seltensten Fällen von Beginn an systematisch bei dem Design von Software miteinbezogen. Aufgrund knapper Produktionszyklen und dadurch entstehenden Kosten wird die Zeit für Tests meist unterschätzt. Das Resultat ist fehleranfällige und unsichere Software.

Im ModSec Projekt benutzen wir das Konzept von domänenspezifischen Sprachen für die Spezifikation von Sicherheitsanforderungen von Geschäftsprozessen auf Modellierungsebene und gewährleisten eine automatisierte und konsistente Transformation auf die Systemebene. Dadurch wird sichergestellt, dass geltende Richtlinien und Einschränkungen korrekt im Softwaresystem abgebildet werden. Hauptziel des Projekts ist einerseits die Integration verschiedener prozessbasierter domänenspezifischer Sprachen im Sicherheitsbereich. Andererseits die Erstellung von Testfällen zur Sicherstellung, dass entwickelte Softwareartefakte dieselben Richtlinien auf Modell- und Systemebene erfüllen.

Unser modellgetriebener Sicherheitsansatz für die Softwareentwicklung soll einen Entwicklungszyklus ermöglichen, der Sicherheitsaspekte von Beginn an berücksichtigt. Deshalb soll die durchgeführte Forschung im ModSec Projekt dazu beitragen, einerseits Risiken von sicherheitskritischen Prozessen und andererseits Sicherheitslücken in Softwaresystemen zu minimieren. Ergebnisse des Projekts werden neue Methoden, Konzepte und Softwareartefakte sein, die auf domänenspezifischen Sprachen im Bereich modellgetriebener Softwareentwicklung für Sicherheitsaspekte basieren.

Geldgeber*innen

Österreichische Forschungsförderungsgesellschaft FFG
StatusAbgeschlossen
Tatsächlicher Beginn/ -es Ende1/12/1130/11/13

Österreichische Systematik der Wissenschaftszweige (ÖFOS)

  • 102016 IT-Sicherheit
  • 102 not use (Altbestand)
  • 102022 Softwareentwicklung
  • 502050 Wirtschaftsinformatik