Aktuelle Tools zur statischen Codeanalyse zeigen noch viele Probleme. In der Praxis werden diese Tools beispielsweise von Entwicklern nicht gut angenommen. Einer der Gründe dafür ist, dass die Entwickler bei der Verwendung dieser Tools mit vielen Warnungen konfrontiert werden. Aufgrund mangelnder Präzision sind viele der gemeldeten Warnungen sogar falsch, sogenannte False-Positives. Dies demotiviert die Entwickler stark, sich mit Sicherheitsproblemen zu befassen. Daher behandeln viele Softwareentwicklungsprozesse Softwaresicherheit immer noch als nebensächlich. Das Ziel dieses Projekts ist es, die Benutzerfreundlichkeit statischer Analysewerkzeuge gemäß den Anforderungen von Entwicklern zu verbessern. Dies erfordert die Erforschung neuer Technologien insbesondere in folgenden Bereichen:

  • Optimierte Analysemechanismen
  • Optimierte Darstellung der Analyseergebnisse
  • Flexible Anpassungen an den Nutzungskontext
  • Begleitendes Studium

In diesem Projekt werden insbesondere Softwareentwickler berücksichtigt. Zunächst werden Studien durchgeführt, um die Gründe aufzudecken, warum Entwickler Fehler machen und Sicherheitsprobleme bei der Implementierung von Softwaresystemen einführen. Später sollen dann statische Analysetools entwickelt werden, die Entwickler im Entwicklungsprozess unterstützen, um Sicherheitslücken in der frühen Phase der Softwareentwicklung leichter zu erkennen.

Principal Investigators (PIs)

Prof. Dr. Eric Bodden
Fachgruppe Softwaretechnik
Heinz Nixdorf Institut
Universität Paderborn

Prof. Dr. Matthew Smith
Arbeitsgruppe Usable Security and Privacy
Institut für Informatik 4
Rheinischen-Friedrich-Wilhelms-Universität Bonn

Doktoranden

Linghui Luo
Fachgruppe Softwaretechnik
Heinz Nixdorf Institut
Universität Paderborn
@LinguiLuo

Mischa Meier
Institut für Informatik 4
Universität Bonn

Publikationen

  • Linghui Luo, Julian Dolby, Eric Bodden “MagpieBridge: A General Approach to Integrating Static Analyses into IDEs and Editors”, ECOOP 2019
  • Linghui Luo, Eric Bodden, Johannes Späth “A Qualitative Analysis of Android Taint-Analysis Results”, The 34th IEEE/ACM International Conference on Automated Software Engineering (ASE) 2019, San Diego, California, United States.
  • Manuel Benz, Erik Krogh Kristensen, Linghui Luo, Nataniel P. Borges Jr., Eric Bodden, Andreas Zeller “Heaps’n Leaks: How Heap Snapshots Improve Android Taint Analysis“, The 42nd International Conference on Software Engineering (ICSE) 2020, Seoul, South Korea.