Heuristische und wissensbasierte Sicherheitsprüfung von Softwareentwicklungsartefakten basierend auf natürlichsprachlichen Informationen
von Stefan GärtnerSicherheitslücken können bei softwareintensiven Informationssystemen zu großen Schäden führen und hohe Wartungskosten verursachen. Um Sicherheitslücken nachhaltig zu reduzieren, müssen sie schon frühzeitig und kontinuierlich während der Softwareentwicklung identifiziert werden. Hierbei müssen die Artefakte aus den verschiedenen Phasen des Softwareentwicklungsprozesses berücksichtigt werden. Sie spezifizieren das Informationssystem in Form von Anforderungen, Modellen und Quelltext. Dabei nutzen sie eine Vielzahl natürlichsprachlicher Informationen.
Im Rahmen dieser Arbeit wird untersucht, wie sich natürlichsprachliche Informationen aus den Entwicklungsartefakten nutzen lassen, um potentielle Sicherheitslücken automatisch zu identifizieren. Hierzu wird eine Sicherheitsprüfung basierend auf Bewertungsheuristiken und strukturiertem Sicherheitswissen vorgestellt. Die Eignung des Prüfverfahrens wird anhand einer Fallstudie für die Anforderungs-, Entwurfs- und Implementierungsphase des Softwareentwicklungsprozesses gezeigt. Die Arbeit ergänzt mit dem vorgestellten Prüfverfahren andere qualitätssichernde Methoden der Softwareentwicklung.