Vertrauenswürdigkeit von Software - Entwicklertag › karlsruhe › 2014 › sites › ... ·...
Transcript of Vertrauenswürdigkeit von Software - Entwicklertag › karlsruhe › 2014 › sites › ... ·...
Vertrauenswürdigkeit von Software
Sandro Hartenstein FH Brandenburg
Agenda
• Vorstellung OPTET
• Vertrauenswürdige Software
– Ermittlung von Attributen
– Messen der Vertrauenswürdigkeit
• Prototyp
• Ausblick
20.05.2014 2 Karlsruher Entwicklertag 2014 Sandro Hartenstein
OPTET
• FP7 EU-Projekt
• Projektdauer: 3 Jahre
• Start: 1. November 2012
• Fördersumme insgesamt 7,1 Millionen €
• Budget der FH Brandenburg: 321,779€
• 793,5 Personen Monate
• 15 Projektpartner
• 4 Universitäten
20.05.2014 4 Karlsruher Entwicklertag 2014
Sandro Hartenstein
OPTET
• Projektpartner
Weiterführende Informationen: www.optet.eu
20.05.2014 5 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Zielsetzung
• Entwicklung von Strukturen für die Erstellung, Auswahl und den Betrieb von nachweislich vertrauenswürdigen Internet-basierten Anwendungen.
Entwicklungsphase Betriebsphase Zertifizierungsphase
20.05.2014 6 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Schwerpunkte
• Wie kann im Entwicklungsprozess nachweislich vertrauenswürdige Software entstehen?
• Wie kann eine Zertifizierung diese Vertrauenswürdigkeit nachvollziehen?
• Wie ist in der Betriebsphase die Vertrauenswürdigkeit aufrechtzuerhalten?
20.05.2014 7 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Aufgaben vom FHB-Team
• Die Fachhochschule Brandenburg bringt ihre Kompetenz im Bereich "Metriken" und "sichere Software-Entwicklung" in das Projekt ein.
• Die Messbarkeit von Softwarekomponenten stehen im Vordergrund
20.05.2014 8 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Der OPTET Ansatz
20.05.2014 9 Karlsruher Entwicklertag 2014 Sandro Hartenstein
VERTRAUENSWÜRDIGE SOFTWARE
Vertrauenswürdige Software
• Vertrauenswürdige Software
– Vertrauenswürdigkeit der Software
– Vertrauenswürdigkeit des Entwicklungsprozesses
– Subjektiv
– Ziel: Software in Bezug auf Vertrauenswürdigkeit vergleichbar zu bewerten.
20.05.2014 11 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Attribute für Vertrauenswürdigkeit
20.05.2014 12 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Messung der Vertrauenswürdigkeit
• Mit Metriken realisiert – derzeit 127 Metriken entwickelt – angestrebte Ergebnisse in Prozent
• Entwicklung der Metriken mit Goal Question Methode
• Einbeziehung gängiger Standards und Best Practice der Software Qualität
• Zusammenfassung der Metrikergebnisse auf Attributebene
• Zusammenfasssung bis auf Einzelwert möglich (z.B Software A : 75% trustworthiness)
20.05.2014 13 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Beispiel Produktmetrik
20.05.2014 14 Karlsruher Entwicklertag 2014 Sandro
Hartenstein
Metric Info ID 154
Attribute Confidentiality
MetricID APP-RUN-transitencr-01
Name Confidentiality addressed transit
Description It should be displayed as a percentage, how much data is encrypted transferred
Metric % Of the data which is encrypted transferred
Metric_computation x = (sum of encrypted transferred data / sum of transferred data) * 100%
Formula X = A / B *100
PROTOTYP
Prototyp
• Berechnung – generisch – automatisch – der
• Metriken • Attribute • Objectives
• Bereitstellung eines Repositories für Metriken • Abbildung der Kategorisierung
– Attributes – Objectives
20.05.2014 16 Karlsruher Entwicklertag 2014 Sandro
Hartenstein
Prototyp
20.05.2014 Karlsruher Entwicklertag 2014 Sandro
Hartenstein 17
Prototyp
• Verwaltung des Repository durch Webfrontend
• Formeln sind zur Laufzeit erweiterbar
• Restful API zur Berechnung durch Komponenten des Projektes
– Entwicklung (TW End To End Evaluator)
– Marktplatz (Entscheidungssystem)
– Runtime (Systemmonitor)
20.05.2014 18 Karlsruher Entwicklertag 2014
Sandro Hartenstein
Demo des Prototypen
Webgui
•Verwaltung der Metriken
• show, create, export
•Metadatenmanagenent
Api
• Informationsbereitstellung
• Berechnung
20.05.2014 19 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Verwendung des Prototypen
• End 2 End TW Evaluator
20.05.2014 20 Karlsruher Entwicklertag 2014 Sandro Hartenstein
AUSBLICK
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
• Ermittlung von Qualitätsfaktoren – Top Down
• Common Criteria ISO 15408 • SSE-CMM ISO 21827 • BSIMM/ OpenSAMM • Microsoft SDL • OWASP CLASP • ...
– Botton up • Verifizierung und Erweiterung
– Umfrage • Verifizierung
• Messen von Qualitätsfaktoren – Via Metriken – Entwicklung mit GQM
requirements design coding testing deploy support governance
20.05.2014 22 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
governance requirements design coding testing deploy support
•employees
•iterative
•policies and processes
•legal
20.05.2014 23 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
governance requirements design coding testing deploy support
•completeness
•consistent
•user oriented
•validated / traceable
•legal
•precise
20.05.2014 24 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
governance requirements design coding testing deploy support
•simple
•traceable
•pattern based
•completeness
20.05.2014 25 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
•code generation
•documented
•error free
•verifiable
governance requirements design coding testing deploy support
20.05.2014 26 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
governance requirements design coding testing deploy support
•test coverage
•requirement coverage
•auditable
•fuzz coverage
•integration test coverage
20.05.2014 27 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
governance requirements design coding testing deploy support
•documented
•Integrity
•customizable
•recorded
20.05.2014 28 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Ausblick: Vertrauenswürdigkeit des Entwicklungsprozesses
requirements design coding testing deploy support
•user centricity
•competence
•effectiveness
•integrity
•reversible
•traceable
20.05.2014 29 Karlsruher Entwicklertag 2014 Sandro Hartenstein
Vielen Dank für Ihre Aufmerksamkeit
Sandro Hartenstein FH Brandenburg
20.05.2014 Karlsruher Entwicklertag 2014 Sandro
Hartenstein 31