Auflistung nach Schlagwort "Security-by-design"
1 - 2 von 2
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragSecure Data-Flow Compliance Checks between Models and Code based on Automated Mappings (Summary)(Software Engineering 2020, 2020) Peldszus, Sven; Tuma, Katja; Strüber, Daniel; Jürjens, Jan; Scandariato, RiccardoWe present our paper published at the 2019 edition of the International Conference on Model Driven Engineering Languages and Systems (MODELS). During the development of security-critical software, the system implementation must capture the security properties postulated by the architectural design. To iteratively guide the developer in discovering such compliance violations we introduce automated mappings. These mappings are created by searching for correspondences between a design-level model (Security Data Flow Diagram) and an implementation-level model (Program Model). We limit the search space by considering name similarities between model elements and code elements as well as by the use of heuristic rules for matching data-flow structures. The automated mappings support the designer in an early discovery of implementation absence, convergence, and divergence with respect to the planned software design as well as the discovery of secure data-flow compliance violations. We provide a publicly available implementation of the approach and its evaluation on five open source Java projects.
- ZeitschriftenartikelSecurity-by-Design in der Cloud-Anwendungsentwicklung(HMD Praxis der Wirtschaftsinformatik: Vol. 53, No. 5, 2016) Schoknecht, Andreas; Schiefer, Gunther; Citak, Murat; Oberweis, AndreasUnternehmen erkennen zunehmend die ökonomischen und operationalen Vorteile von Cloud Computing, die es ihnen ermöglichen, sowohl signifikante Kosteneinsparungen zu erzielen als auch den Einsatz neuer Software-Anwendungen zu beschleunigen. Der Einsatz von Cloud Computing erfordert jedoch eine zunehmende Betrachtung neuer Herausforderungen an die Sicherheit von Daten, die eine große Barriere für eine breitere Akzeptanz von Cloud Computing sind. In diesem Artikel werden Erkenntnisse aus dem von der EU geförderten Projekt PaaSword vorgestellt, welches das Ziel verfolgt, das Vertrauen in Cloud Computing zu erhöhen. In diesem Projekt wird ein holistisches Datensicherheits-Framework entwickelt, wobei der Fokus auf Software-Entwicklern liegt, die bei der Entwicklung von sicheren Cloud-Anwendungen und -Diensten unterstützt werden sollen. Dazu wird zunächst das zugrundeliegende Architektur-Konzept für eine sichere Speicherung von Daten vorgestellt, um dann vertieft auf die kontextbasierte Zugriffskomponente einzugehen. Zentraler Aspekt dieser Zugriffskomponente ist ein kontextbasiertes Zugriffsmodell, das von Entwicklern zur Annotation von Data Access Objects verwendet werden kann. Das Zugriffsmodell baut auf einem Attribute-based Access Control Modell auf. Dabei werden Zugriffsrechte gewährt, indem Zugriffsregeln ausgewertet werden, welche Kontextattribute berücksichtigen. Zu diesen Attributen können beispielsweise die IP-Adresse des anfragenden Geräts, die Art des verwendeten Geräts oder die Rolle des Nutzers innerhalb einer Organisation gehören. Im PaaSword-Zugriffsmodell werden Aspekte konzeptualisiert, die bei der Auswahl von Datenzugriffsregeln beachtet werden sollen und mit deren Hilfe das kontextbasierte Zugriffsmodell festlegt, auf welche Daten unter welchen Bedingungen zugegriffen werden darf. Die Formulierung der Regeln baut auf dem XACML-Standard auf, der es ermöglicht, einzelne Regeln mit Kontextbedingungen zu komplexeren Regelwerken zusammenzufassen.AbstractCompanies increasingly recognize the economical and operational advantages of Cloud Computing, which enables them to realize significant cost savings and to speed up the setup of software applications. Yet, the usage of Cloud Computing requires the consideration of new challenges regarding data security, which pose a serious threat to the adoption of Cloud Computing. This article presents results from the EU-funded PaaSword project, which aims at increasing the trust in Cloud Computing. A holistic data security framework will be developed during the project, whereby the focus is on software developers, who shall be supported during the development of secure cloud applications and services. Therefore, firstly, the underlying architecture concept for secure storage of data is introduced. The context-based access control component is described in further details afterwards. The central aspect of this access control component is a context-based access control model, which can be used by developers to annotate data access objects. The access control model itself builds upon an attribute-based access control model. Thereby, access rights are granted through the evaluation of access rules, which take context attributes into account. Such attributes might, e. g., be the role of a user within an organization, the IP address or type of the requesting device. The PaaSword access control model conceptualizes aspects which shall be considered during the selection of data access rules and with which the context-based access control model determines under which circumstances an access request on which data is allowed. The formulation of such rules is based on the XACML standard, which allows combining single rules with context conditions to more complex policies.