Die Digitalisierung hält immer mehr Einzug in alle Lebensbereiche. Kritische Schwachstellen in der Softwareentwicklung stellen ein enormes Sicherheitsrisiko dar und steigen rasant an. Im Projekt werden Methoden zum Einsatz Künstlicher Intelligenz (KI) erforscht, die Schwachstellen in Softwarecode erkennt und so Cyberangriffe verhindern kann. Das Gesamtvolumen des Projekts liegt bei 2,24 Millionen Euro einschließlich eigener Mittel der Projektpartner.
AI-DevAssist | KI-gestützte, sichere Softwareentwicklung
|
Projektlaufzeit | 01/2021 - 12/2023
|
Projektpartner | Fraunhofer IEM, Paderborn
|
Verbundkoordinator | Code Intelligence GmbH, Bonn
|
Projektbeitrag von achelos (Teilvorhaben) | Benchmark-Erstellung und Evaluationsbegleitung im Bereich der sicheren Softwareentwicklung auf Basis von Künstlicher Intelligenz (KI)
|
Projektvolumen | 2,24 Mio. € (davon 82 % Förderanteil durch das Bundesministerium für Bildung und Forschung (BMBF))
|
Projektträger | VDI/VDE Innovation + Technik GmbH
|
Projektwebsite | KI-gestützte sichere Softwareentwicklung AI-DevAssist
|
Schwachstellen 2006–2018. Quelle: Matt Miller - BlueHat IL 2019
Die Entwicklung sicherer und zuverlässiger Software ist eine große und bisher ungelöste Herausforderung. Die Anzahl der kritischen Schwachstellen steigt trotz aller Eindämmungsversuche, wie die Abbildung z. B. den Anstieg der CVE (Common Vulnerabilities and Exposures(1)) von 2006 bis 2018 zeigt. Eine Analyse von Microsoft Research belegt, dass Entwickler heute größtenteils dieselben Fehler machen, wie vor 20 Jahren(2). Ziel dieses Projektes ist es, KI-gestützte Methoden zur Schwachstellenerkennung zu erforschen und Demonstratoren zu entwickeln, die Entwicklern und Entwicklerinnen eine leichtere und sichere Softwareentwicklung ermöglichen.
Konkreter ist es das Ziel, den State-of-the-Art in der Sicherheitsanalyse am Beispiel von Java voranzutreiben. Dabei werden Methoden der künstlichen Intelligenz entwickelt, die bestehende statische und Fuzzing-Analysewerkzeuge erweitern und eine direkte Interaktion zwischen den Softwareentwicklern und der KI erlauben. Fuzzing ist eine dynamische Software Analyse die bereits rudimentäre Machine Learning Ansätze nutzt.
Um diese Zielsetzung zu erreichen, bringt AI-DevAssist die Expertise weltweit führender Expertenteams aus den Forschungsbereichen Artificial Intelligence, Secure Software Engineering und Usable Security zusammen. Usable Security befasst sich im Kern mit dem Faktor Mensch in der Sicherheit und wie Technik den Menschen dabei unterstützen kann, sichere Software zu entwickeln. Der Lösungsweg von AI-DevAssist besteht in der Entwicklung von KI-Komponenten, die diese Aufgabe übernehmen und Softwarefehler identifizieren. AI-DevAssist setzt hier auf neuartige Methoden des Secure Software Engineering — speziell der automatisierten Codeanalyse —, um einen KI-Assistenten zu entwickeln, der Schwachstellen auf Basis semantischer Programmeigenschaften effektiv erkennen kann. Zudem werden Methoden für die Interaktionen zwischen einer KI und Softwareentwicklern erforscht und entwickelt, um den Wissenstransfer zwischen Entwickler und Security-Werkzeug zu optimieren.
Schwachstellen 2006–2018 | Quelle: Matt Miller - BlueHat IL 2019
achelos erstellt einen Benchmark und begleitet die Evaluierung der sicheren Softwareentwicklung auf Basis von Künstlicher Intelligenz (KI)
Ziel des achelos-Teilvorhabens ist das Erheben von Anforderungen an die zu entwickelnde Analysesoftware, das Erstellen einer Benchmark und die Evaluation der im Projekt entwickelten Lösungen. achelos baut dabei auf ihre langjährige Erfahrung in der Entwicklung sicherheitsrelevanter Software in Industrieprojekten und trägt dieses Know-how in das Projekt.
Hauptaufgabe: Erstellung der Benchmark
achelos nutzt Schwachstellen aus bekannten Benchmarks und ergänzt diese um Schwachstellen, die sich mit aktuellen Werkzeugen nicht finden lassen. achelos wird die Benchmark in eine Trainings- und Evaluierungsinfrastruktur integrieren und ermöglicht so eine ständige Evaluierung der im Projekt entwickelten Lösungen. Ein Expertenteam aus der achelos-Entwicklung, mit Erfahrungen in sicherheitsrelevanten Industrieprojekten, wird sich an der Evaluierung der Mensch-KI-Schnittstelle beteiligen.
achelos besitzt langjährige Erfahrung in Beratung, Entwicklung und Test für Software aus sicherheitskritischen Anwendungsbereichen. Zum achelos-Portfolio zählen automatisierte Testsuiten für sichere Netzwerkprotokolle, Sicherheit von Zertifikaten und hochsichere Komponenten. Unsere Testsuiten werden speziell zur Abnahme von Produkten eingesetzt, die nach Common Criteria zertifiziert werden müssen. Bei einer Zertifizierung nach einer bestimmten Evaluation Assurance Level (EAL) — Stufe (EAL 1 - 7) ist eine Betrachtung der sicheren Implementierung sowie Schwachstellen ein wichtiges Kriterium. Die Expertise der achelos auf dem Gebiet der Testsuiten ist vor allem für die Konzeption und Erstellung der Benchmark relevant.
Im it’s OWL Transferprojekt „Integration von CogniCrypt“ hat achelos bereits Erfahrungen im Bereich der statischen Codeanalyse mit dem Werkzeug CogniCrypt gesammelt. Hier wurde CogniCrypt in die Continiuous-Integration-Umgebung der achelos sowie als Plug-In in die Softwareentwicklungsumgebung Eclipse integriert und um Regeln für die Kryptobibliothek BouncyCastle erweitert.
Weiterhin arbeitet achelos im BMBF-Projekt AutoSCA zusammen mit den Projektpartnern daran, Seitenkanalangriffe gegen kryptographische Protokolle erstmals automatisiert analysieren und vermeiden zu können. Dazu arbeitet die achelos interdisziplinär mit Kryptografen und Machine Learning Experten zusammen, um Wissen in den Grundlagen zum Machine Learning und um geeignete Machine Learning Verfahren aufzubauen und damit weitere kryptografische Schwachstellen mit ihren Testsuiten für sichere Netzwerkprotokolle aufdecken zu können.
(1) cve.mitre.org (2) Matt Miller. Trends, Challenges, and Strategic Shifts in the Software Vulnerability Mitigation Landscape. In BlueHat IL, 2019.
achelos bringt Expertise in Entwicklung sicherheitsrelevanter Software ein.
Sie haben Fragen? Ihre Ansprechpartnerin in diesem Bereich ist:
Dr. Claudia Priesterjahn
Team Lead Research & Secure Communication Development
claudia.priesterjahn@achelos.de +49 5251 14212-0