Schwachstellen direkt im Entwicklungsprozess erkennen und vermeiden: Das soll die KoTeBi-Testsuite leisten. Mit dem Werkzeug können Entwicklerinnen und Entwickler sicherstellen, dass die von ihnen verwendete Security-Implementierung auch wirklich sicher ist. Das Projekt hat einen wichtigen Meilenstein erreicht: Die Entwicklung der Kernfunktionalitäten ist abgeschlossen und eine erste Version wurde veröffentlicht, nun geht es in die Validierungsphase. Dafür werden interessierte Unternehmen gesucht, die unsere Software testen möchten.
Der wichtigste Sicherheitsstandard, um die Sicherheit computergestützter Kommunikation zu gewährleisten, ist TLS: TLS steht für Transport Layer Security und ist ein Kryptografie-Protokoll zur Absicherung der IT-Kommunikation. Ziel des Projekts KoTeBi (Kombinatorisches Testen von TLS-Bibliotheken) ist es, Schwachstellen schon während der Programmierung zu erkennen und zu vermeiden. Dazu haben die Projektpartner Methoden zur automatischen Erkennung von Sicherheitslücken erforscht, die sich vor allem aus der Kombination von verschiedenen Protokoll-Parametern ergeben. Basierend auf diesen Methoden wurde eine Testsuite entwickelt, die TLS-Implementierungen vollautomatisch auf Fehler untersucht.
Meilensteintreffen im Juli in Paderborn: Tool ist bereit zur Validierung – interessierte Unternehmen können mitmachen
Die Kernfunktionalitäten der Testsuite sind funktionsfähig und es kann bereits in einer ersten Version verwendet werden. Somit beginnt nun die Validierungsphase des Projekts. Dafür suchen die Projektbeteiligten Partner, die das Tool testen möchten. In Workshops oder Einzelterminen können Unternehmen erfahren, wie die Testsuite eingesetzt wird, warum sie so wichtig ist und wie die Auswertung funktioniert. Neben Softwareentwickelnden sind auch nicht technikaffine Mitarbeiterinnen und Mitarbeiter sowie Entscheidungstragende herzlich eingeladen, das Tool kennenzulernen. Interessierte können sich bei Dr. Simon Oberthür vom SICP – Software Innovation Campus Paderborn oder Ovidiu Ursachi von InnoZent OWL e.V. melden. (Kontaktinformationen siehe unten)
Warum ist die Testsuite so wichtig und worin liegt ihre Innovationskraft?
Die Testsuite soll Softwareentwicklerinnen und -entwickler in die Lage versetzen, ihre eigene Implementierung auf Sicherheit zu testen und neues Fachwissen im Bereich TLS aufzubauen. Bisherige Produkte bieten nur eingeschränkte Tests an und keinen Ansatz für kombinatorisches Testen. Die Neuwertigkeit des KoTeBi-Lösungsansatzes: Durch kombinatorisches Testen wird eine höhere Testtiefe erreicht und es werden potenziell mehr Probleme aufgedeckt.
Als Basis für die Testsuite wird das Open Source Framework TLS-Attacker verwendet, das im Kontext des SICP gemeinsam von der Universität Paderborn, der Ruhr-Universität Bochum und der Hackmanit GmbH entwickelt wurde. Anforderungen werden von den Kooperationspartnern sowie über das Technologienetzwerk InnoZent OWL e.V. eingebracht.
Nächste Projektschritte: Testsuite validieren und neue Workshop-Formate etablieren
Bis zum finalen Release der Testsuite sammeln die Projektpartner nun Feedback und Anforderungen von Softwareentwickelnden und berücksichtigen diese beim „Feinschliff“ der Software und der Verbesserung der Usability.
Eine Herausforderung besteht darin, das Projekt auch nicht technikaffinen Menschen und Entscheidungstragenden in Unternehmen näherzubringen. Dazu arbeitet das Technologienetzwerk InnoZent OWL e.V. an der Etablierung neuer Workshop-Formate. Der Fokus soll dabei weniger auf der Theorie, sondern mehr auf der Praxis liegen. Es sollen Fragen zur Anwendung des Tools und zur Auswertung der Testergebnisse behandelt werden.
Melden Sie sich schon jetzt zum nächsten KoTeBi-Workshop an
Interessierte können sich für unseren nächsten Online-Workshop am 19.09.2024 von 16 bis 18 Uhr anmelden:
Im Rahmen dieses nicht-technischen Workshops stellt Ihnen das KoTeBi-Projektteam vor, warum Sie sich gezielt mit TLS für Ihr Unternehmen auseinandersetzen sollten.
- Hier können Sie sich anmelden: https://forms.office.com/e/hBQUYcdd5V
- Weitere Informationen finden Sie unter: https://www.kotebi.de/
Haben Sie Interesse, das Tool auch außerhalb unserer Workshops kennenzulernen und zu testen?
Dann kontaktieren Sie uns!
- Dr. Simon Oberthür, Leiter des Innovationsbereichs Digital Sovereignty im SICP
Mail oberthuer@sicp.uni-paderborn.de
Phone +49 151 61 48 91 33
- Ovidiu Ursachi, IT-Sicherheit, Künstliche Intelligenz, InnoZent OWL e.v.
Mail oursachi@innozentowl.de
Phone +49 5251 2055 – 900
