Software begegnet uns in unserem digitalisierten Alltag an vielen verschiedenen Stellen, vom Chat mit Freunden und Familie bis hin zum Online-Banking. Um die Softwareentwicklung zu vereinfachen, nutzen Programmierer häufig sogenannte „Application Programming Interfaces“ (API) – Codes, die beispielsweise Befehle für allgemeine Funktionen beinhalten oder Interaktionen mit einem externen System ermöglichen. Bei einzuhaltenden Standards oder komplizierten Programmieraufgaben ist der Einsatz von APIs hilfreich. Die falsche Verwendung kann aber auch zu Sicherheitslücken und enormen Kosten führen. Um einen potenziellen Missbrauch frühzeitig erkennen zu können, entwickeln Wissenschaftler des Heinz Nixdorf Instituts der Universität Paderborn gemeinsam mit der TRUMPF SE + Co. KG ein entsprechendes Analysewerkzeug. Das Projekt „API_ASSIST – Spezifizierbare automatische Erkennung von API-Falschverwendungen in CI-Pipelines“ der Fachgruppe „Secure Software Engineering“ wird mit 100.000 Euro im Rahmen des Software Campus-Programms des Bundesministeriums für Bildung und Forschung (BMBF) gefördert. Die Laufzeit beträgt 19 Monate.
„Die falsche Verwendung von APIs führt häufig zu Sicherheitslücken, was beispielsweise im Finanzwesen katastrophale Ausmaße annehmen kann“, weiß Projektleiter Michael Schlichtig. Im Sonderforschungsbereich SFB 1119 „CROSSING“ entwickelte der wissenschaftliche Mitarbeiter bereits das Programm „CogniCrypt“, das die falsche Verwendung von kryptographischen APIs erkennt. Das statische Analysewerkzeug soll im Rahmen des neuen Projekts so angepasst werden, dass Programmierer es für ihre individuellen Einsatzgebiete nutzen können. „Unser Ziel ist ein präzises und vor allem leicht adaptierbares Analyseprogramm für Entwickler in der Industrie. Das Werkzeug soll in CI-Pipelines integriert werden und beliebige APIs der Programmiersprache Java abdecken können“, erklärt er.
Teilen: