Auszeichnung für automatische Schwachstellenanalyse
Für seine Forschung zu sicheren Softwaresystemen erhält Prof. Dr. Eric Bodden, Informatiker an der Universität Paderborn und Direktor des Fraunhofer IEM, den "ERC Advanced Grant" in Höhe von 2,5 Millionen Euro vom Europäischen Forschungsrat. Der Wissenschaftler entwickelt eine Technologie, die Werkzeuge zur Schwachstellenanalysen so produziert, dass sie für die jeweilige Software im Unternehmen optimal funktionieren – und das vollständig automatisiert.
Insgesamt schütten die "ERC Advanced Grants" 652 Millionen Euro an europäische Forscher aus. 2,5 Millionnen davon gehen an Prof. Dr. Eric Bodden von der Universität Paderborn. Dessen Forschungsgegenstand ist die statische Programmanalyse, also die automatisierte Prüfung des Programmcodes. Dabei handelt es sich um eine wichtige Technik, um die Sicherheit von Anwendungen zu garantieren. Denn sie ist in der Lage, ein Programm in Bezug auf alle möglichen Eingaben – auch solche von Hackern – zu analysieren, und zeigt Fehler und Schwachstellen wie etwa Datenlecks auf. Obwohl die statische Programmanalyse ein extrem leistungsfähiges Werkzeug ist, hat sie laut Bodden jahrzehntelang um eine breite Anwendung gekämpft.
Aber da die EU es Unternehmen im Rahmen des "Cyber Resilience Act (CRA)" nun vorschreibt, Software sicher zu entwickeln, wird diese Technologie nun wichtiger denn je. Aktuelle Systeme seien laut Bodden allerdings unzureichend an Entwicklungskontexte angepasst, sodass sie beispielsweise häufig falsche Warnungen ausgeben und somit die Entwickler von den tatsächlichen Schwachstellen ablenken. Schwierig sei das vor allem für wenig erfahrene Softwareingenieure, die statische Analysen in Folge des CRA nun aber künftig durchführen müssen.
Die Technologie, die Bodden in seinem ERC-Projekt "Self-Optimizing Static Program Analysis" in seiner Fachgruppe erforschen möchte, soll Abhilfe durch Automatisierung leisten. Denn sie versetzt Nutzer in die Lage, Analysen für jeden gegebenen Anwendungskontext durchzuführen. Relevante Warnungen werden binnen kürzester Zeit gemeldet, ohne dass die Anwender manuell eingreifen müssen. Sie erhalten präzise Berichte für die von ihnen bereitgestellten Programme. "Kein vorheriges Projekt hat sich mit der Idee befasst, diese optimalen Analysen vollautomatisch zu produzieren. Um das zu ermöglichen, werden wir erstmalig statische Analysen entwickeln müssen, die nicht nur Programme, sondern auch sich selbst analysieren und optimieren", so Bodden.
Im Ergebnis soll sein Vorhaben dazu führen, dass Softwareingenieure diese Art der Fehlerdetektion eigenständig nutzen und alle erforderlichen Anpassungen der Analyse automatisch durchgeführt werden können. "Und es soll dazu beitragen, die Millionen von Softwaresystemen zu sichern, auf die wir uns alle zu verlassen gelernt haben", fasst der Wissenschaftler zusammen.
