Beweisbar sichere Programmausführung durch deklarativ definierte dynamische Programmanalysen (Kennwort: RUNSECURE)

通过声明性定义的动态程序分析可证明程序执行的安全性（密码：RUNSECURE）

• 批准号: 216294198
• 负责人: Professor Dr. Eric Bodden
• 金额: --
• 依托单位: Fachgruppe Softwaretechnik
• 依托单位国家: 德国
• 项目类别: Independent Junior Research Groups
• 财政年份: 2012
• 资助国家: 德国
• 起止时间: 2011-12-31 至 2020-12-31
• 项目状态: 已结题
• 来源: https://gepris.dfg.de/gepris/projekt/216294198?language=en
• 关键词: Beweisbar; sichere; Programmausf; hrung; durch

Moderne Softwaresysteme zeichnen sich nicht nur durch Ihre enorme Funktionalität aus, sondern auch durch Fehler und Schwachstellen, die die Sicherheit und Privatsphäre ihrer Nutzer und ihrer Daten gefährden. In den vergangenen Jahren hat die Forschung große Fortschritte in der statischen Vorab-Analyse solcher Systeme gemacht—Fortschritte, die es erlauben, viele Fehler bereits vor dem Einsatz der Software zu erkennen und beheben. Jedoch lassen sich vielerlei Schwachstellen erst zur Laufzeit sicher erkennen, nicht zuletzt, weil Angreifer dieselben Vorab-Analysen selbst anwenden und sie dann umgehen können. Eine rundum sichere Umgebung muss daher sowohl auf Vorab-Analysen als auch auf Laufzeit-Analysen setzen. Im Projekt RUNSECURE werden Methoden, Techniken und Werkzeuge entwickelt, mit denen Angriffs- und Fehlersituationen zur Programmlaufzeit zuverlässig und effizient erkannt, und gleichzeitig Gegenmaßnahmen ergriffen werden können. Egal wie sehr ein Angriff im Programmcode auch verschleiert ist, er kann spätestens dann erkannt werden, wenn er zur Ausführung kommt. Zu diesem Zeitpunkt muss allerdings sicher gestellt werden, dass mögliche Gegenmaßnahmen auch greifen. Um dies sicher zu stellen, entwickelt das Projekt eine spezielle Programmiersprache mit der entsprechende Dynamische Programmanalysen für Sicherheitsbelange deklarativ definiert werden. Solche Definitionen erlauben die vollautomatische Generierung effizienter dynamischer Analyse- und Monitoringwerkzeuge, die beweisbar korrekte Programmausführungen garantieren.

现代软件系统是一种新的软件系统，它可以用来实现功能，也可以用来满足用户的需求。在统计和分析解决方案系统中，所有的数据都是错误的，只有软件才是最好的。Jedoch Lassen sich vielerlei Schwachstellen erkennen，Nickht zuletzt，weil Angreifer dieselben Vorab-Analysen Selbst Anwenden and sie Dann umgehen könnnen.这是一种新的分析方法，也是一种分析方法。Im Projekt RUNSECURE Won Methoden，Techniken and Werkzeuge entwickelt，MIT denen Angriff-und Fehleritationationen zur Programmlafzeit zuverlässig and Efficient erkannt，and Gleichzeitig Gegenmaünahmen ergriffen en den könnnen.在安格里夫的程序代码中，我们看到了一种新的方式，那就是把所有的东西都放在一起。你对她的姿势很敏感，我不会让你失望的。这个世界上最重要的东西就是它，它是一种特殊的程序，它是一种动态的程序分析方法。解决方案定义了自动化通用的效率动态分析和监测程序。

项目成果

DroidForce: Enforcing Complex, Data-centric, System-wide Policies in Android

• DOI: 10.1109/ares.2014.13
• 发表时间: 2014-09
• 期刊: 2014 Ninth International Conference on Availability, Reliability and Security
• 作者: Siegfried Rasthofer;Steven Arzt;Enrico Lovat;E. Bodden

jÄk: Using Dynamic Analysis to Crawl and Test Modern Web Applications

• DOI: 10.1007/978-3-319-26362-5_14
• 发表时间: 2015-11
• 作者: Giancarlo Pellegrino;Constantin Tschürtz;E. Bodden;C. Rossow

CrySL: An Extensible Approach to Validating the Correct Usage of Cryptographic APIs

• DOI: 10.4230/lipics.ecoop.2018.10
• 发表时间: 2018-07
• 期刊: IEEE Transactions on Software Engineering
• 影响因子: 7.4
• 作者: Stefan Krüger;Johannes Späth;Karim Ali;E. Bodden;M. Mezini

FlowTwist: efficient context-sensitive inside-out taint analysis for large codebases

FlowTwist：针对大型代码库的高效上下文相关的由内而外的污点分析

• DOI: 10.1145/2635868.2635878
• 发表时间: 2014
• 期刊: Proceedings of the 22nd ACM SIGSOFT International Symposium on Foundations of Software Engineering
• 作者: Johannes Lerch;Ben Hermann;Eric Bodden;Mira Mezini
• 通讯作者: Mira Mezini

Join point interfaces for safe and flexible decoupling of aspects

连接点接口，用于安全、灵活地解耦方面

• DOI: 10.1145/2559933
• 发表时间: 2014
• 期刊: ACM Trans. Softw. Eng. Methodol.
• 作者: Eric Bodden;Éric Tanter;Milton Inostroza
• 通讯作者: Milton Inostroza