UPB Bildmarke
Church and religious history
Contact
  • Deutsch
  • English
  • Nachrichten
    • Open Page "Team"
    • Prof. Dr. Nicole Priesching
    • Dr. Julie Adamik
    • Dr. des. Christine Hartig
    • Jan Jeskow
    • Mirjam Kriwet (Sekretariat)
    • Dr. Tilman Moritz
    • Vojin Sasa Vukadinovic
    • Lukas Wapelhorst
    • Open Page "Forschungsprojekte"
      • Open Page "Projekte des Lehrstuhls"
      • Akademisierung von Frauen
      • Aufarbeitung des Nachlasses von Lorenz Kardinal Jaeger
      • Missbrauch im Erzbistum Paderborn – Eine kirchenhistorische Einordnung
      • Missbrauch im Erzbistum Paderborn – Eine kirchenhistorische Einordnung (2002-2022)
        • Open Page "Theologie und Sklaverei von der Antike bis zur Frühen Neuzeit"
        • Veröffentlichungen aus dem Projekt
        • Tagung
        • DFG–Projekt: Theologie und Sklaverei
    • Projekte der Mitarbeiter:innen
    • Katholische Konfessionalisierung in Paderborn?
  • Lehrveranstaltungen
  • Informationen für Studierende
  • Betreute Abschlussarbeiten
  • Partner
  • Anschrift
  1. Faculty of Arts and Humanities
  2. Institute for Catholic Theology
  3. Church and religious history
  4. Nachrichten
Back to the news list

Forschung­s­pro­jekt zum Schutz vor Schwach­s­tel­len in frei zugäng­lich­er Soft­ware bringt zwei Tools her­vor

05.12.2024  |  Forschung,  Intelligente Technische Systeme,  Sonderforschungsbereiche,  Wirtschaft,  Transfer,  Pressemitteilung,  Heinz Nixdorf Institut,  Fakultät für Elektrotechnik, Informatik und Mathematik,  Institut für Informatik

Share post on:

  • Share on Instagram
  • Teilen auf Twitter
  • Teilen auf Facebook
  • Teilen auf Xing
  • Teilen auf LinkedIn
  • Teilen über E-Mail
  • Link kopieren

Frei zugängliche Computerprogramme, die Nutzer*innen herunterladen, verändern und verbreiten dürfen – das steckt hinter sogenannten „Open-Source-Softwares“. Entwickler*innen machen davon u. a. Gebrauch, um einzelne Softwaremodule für neue Anwendungen aus einer Datenbank zu beziehen, anstatt sie selbst von Grund auf zu entwickeln. Das Problem: Bei den frei zugänglichen Inhalten treten immer wieder Schwachstellen auf, womit die Gefahr für Schadsoftware steigt. Um dieses Risiko zu minimieren, haben sich Wissenschaftler vom Institut für Informatik und vom Heinz Nixdorf Institut der Universität Paderborn für ein Forschungsprojekt mit dem Softwareunternehmen SAP SE zusammengeschlossen. Die Experten*innen haben u. a. Werkzeuge entwickelt, die Schwachstellen auch mit bisher unzureichenden Informationen erkennen und entfernen können. Das auf drei Jahre angelegte Projekt wurde von der Deutschen Forschungsgemeinschaft (DFG) mit knapp 500.000 Euro gefördert.

Risiko für Schadsoftware verringen

„Open-Source-Bibliotheken sind sehr weit verbreitet in der modernen Softwareentwicklung. Zwar gibt es dafür gute Gründe, allerdings erhalten durch den öffentlichen Zugang auch potenzielle Angreifer Einblicke in Teile der zugrundeliegenden Codes. So finden sie Schwachstellen, die sie für Cyber-Angriffe ausnutzen können“, erläutert Jonas Klauke, Wissenschaftlicher Mitarbeiter der Paderborner Fachgruppe „Secure Software Engineering“. Die gute Nachricht: Diese Schwachstellen werden auch von der Open-Source Community gefunden, gemeldet und in einer neuen Version der Bibliothek repariert. Klauke erläutert: „Um die Schwachstellen in den Anwendungen zu schließen, muss die genutzte Bibliothek auf die reparierte Version aktualisiert werden. Dafür müssen die Entwickler*innen informiert werden. Das passiert über Tools, die Bibliotheken mit Schwachstellen erkennen. Das Problem ist, dass diese Tools oft ungenau sind. Deshalb haben wir an einem automatisierten Prozess geforscht, der die Entwickler*innen bei der Behebung von befallenen Bibliotheken unterstützt.“ Dadurch sollen die Sicherheitslücken schnell und unkompliziert geschlossen werden.

„UpCy“ steht bereits zur freien Verfügung

Erklärtes Projektziel war es, Werkzeuge zu entwickeln, die Schwachstellen in Open-Source-Anwendungen auch mit unzureichenden Informationen erkennen können. Dabei herausgekommen sind zwei Tools, von denen eines bereits öffentlich zur Verfügung steht. „Das erste ist ein Scanner, der es ermöglicht, Bibliotheken mit Schwachstellen zu erfassen, die in Anwendungen aktiv genutzt werden. Da das Updaten von Bibliotheken einige Veränderungen mit sich bringt, muss das Programm oft an die neue Version angepasst werden. Dieser Aufwand kann reduziert werden, indem das Updaten auf die genutzten Bibliotheken mit Schwachstellen fokussiert wird“, so Klauke. Das zweite entwickelte Tool mit dem Namen „UpCy“ hilft Nutzer*innen beim automatischen Aktualisieren der befallenen Bibliotheken, indem es neue Versionen von Bibliotheken findet, deren Updates keine Komplikationen verursachen. Während an dem Scanner noch gearbeitet wird, können Anwender*innen „UpCy“ bereits nutzen.

Schwachstellen in Open-Source-Softwares auch ohne den Quellcode finden

Zwar gibt es bereits Tools, die Schwachstellen in Open-Source-Softwares erkennen, allerdings nur, wenn die Metadaten oder der sogenannte „Quellcode“ vorliegen. „Dieser ist in einer für Menschen lesbaren Programmiersprache geschrieben und wird in einen Maschinencode übersetzt, um die Anwendung auf dem Computer ausführbar zu machen. Der Quellcode kann allerdings nicht immer präzise der jeweiligen Version der Bibliothek zugewiesen werden. Fehlen nun auch die Metadaten, werden Bibliotheken mit potentiellen Schwachstellen übersehen“, so Klauke. Mithilfe der entwickelten Prozesskette lassen sich nun auch diese Bibliotheken erkennen, wenn weder Metadaten noch eine direkte Verbindung zum ursprünglichen Quellcode existieren.

Weitere Informationen gibt es hier.

Foto (Universität Paderborn): Experten*innen haben Werkzeuge entwickelt, die Schwachstellen in Open-Source-Anwendungen erkennen und entfernen können.
Download (4 MB)

Contact

business-card image

Prof. Dr. Eric Bodden

Secure Software Engineering / Heinz Nixdorf Institut

Write email +49 5251 60-6563
More about the person
business-card image

Jonas Klauke

Secure Software Engineering / Heinz Nixdorf Institut

Write email +49 5251 60-6569
More about the person

Church and religious history

Warburger Str. 100
33098 Paderborn
Germany

Universität Paderborn

Warburger Str. 100
33098 Paderborn
Germany

Phone University

+49 5251 60-0
Legal notice
  • Imprint
  • Data privacy
  • Whistleblower system
Social networks