termine:ws13:131107

07.11.2013 - Marc Hartung

Time 15:00
Room 34-420

Title

Compliance Checking of Security Guidelines using Static Code Analysis

Abstract

This Master's thesis deals with the feasibility of compliance checking of security guidelines of a reference architecture in the Java environment using static code analysis in concrete implementations. For showing this, the reference architecture Register Factory was chosen, which was build by Capgemini in collaboration with the Federal Administration Office of Germany for developing administrational software. First security guidelines are extracted, which concern different parts of the architecture. Then there's a discussion whether those guidelines are reasonable and help to reduce security problems, which were identified by OWASP as especially risky. The found guidelines are implemented as extensions of FindBugs and PMD, two commonly used tools for static code analysis. At the end of this thesis, the implementation is evaluated on real projects of Capgemini.

Deutsches Abstract

Die vorliegende Masterarbeit untersucht, inwieweit eine Konformitätsprüfung von Sicherheitsrichtlinien einer Referenzarchitektur im Java-Umfeld mit Hilfe der statischen Codeanalyse in einer konkreten Implementierung möglich ist. Dafür wurde die Referenzarchitektur Register Factory gewählt, die von Capgemini in Zusammenarbeit mit dem Bundesverwaltungsamt für die Entwicklung von Anwendungen der öffentlichen Verwaltung erstellt wurde. Zunächst werden Sicherheitsrichtlinien herausgearbeitet, die verschiedene Bereiche der Architektur betreffen. Dann wird diskutiert, inwieweit diese Richtlinien sinnvoll gewählt sind und helfen können, von der OWASP als besonders risikoreich identifizierte Sicherheitsprobleme zu reduzieren. Die gefundenen Richtlinien werden als Erweiterungen von den beiden verbreiteten Tools zur statischen Codeanalyse FindBugs und PMD umgesetzt. Letztlich wird die Implementierung im Kontext aktueller Projekte von Capgemini evaluiert.

termine/ws13/131107.txt · Last modified: 29.10.2013 17:39 by ilham