Security durch Verfolgung und Erklärungen im Software Engineering

Softwaresysteme sind und werden in der heutigen Zeit zunehmend komplexer und umfangreicher. Dabei können im Bereich der IT-Sicherheit (Security = Sec) Probleme entstehen.

Je nach Domäne sind diese Sicherheitsprobleme schwerwiegender als andere. Kommt es vor, dass Software Fehlverhalten aufweist, so fehlt bei einigen Softwareentwicklern die Fähigkeit oder die Erfahrung diese Fehler zu beheben. So ist es sinnvoll nachhaltig vergangene Sicherheitsprobleme zu dokumentieren und Lösungen auf neue Projekte zu übertragen/verfolgen (Tracing = Trace) und in Zukunft Entwickler dabei unterstützen daraus zu lernen.

1. Während der Entwicklungmüssen sicherheitsrelevante Artefakte in den Entwicklungsprozeß integriert werden.

2. Fehler in der Entwicklung können Sicherheitsprobleme bei der Nutzung verursachen. Die Problemanalyse sollte die Ursachen von Sicherheitsproblemen ermitteln, die in der Entwicklung begründet sind.

3. Die Entwickler sollten aus Entwicklungsüberlegungen und Problemanalysen kontinuierlich lernen , um künftige Vorfälle zu verhindern und die Sicherheit zu verbessern.

Research Vision: Qualitätsmodelle werden verwendet, um sicherheitsrelevante Informationen auf mehreren Ebenen zu organisieren. Die Verfolgung sicherheitsrelevanter Aktivitäten anhand von Artefakten und eines Qualitätsmodells adressiert alle drei Kernherausforderungen auf einmal: Entwicklung, Problemanalyse und Lernen. Software-Organisationen sollen sicherheitsrelevante Spuren (Traces) hinterlassen, sie vergleichen und durch Soft Matching und intelligente Operationen wiederverwenden. Automatisierte Unterstützung und menschliches Urteilsvermögen sollen kombiniert und TraceSEC zu einem wahrhaft soziotechnischen Ansatz gemacht werden. TraceSEC führt eine besondere Art der sozio-technischen Erklärbarkeit von sicherheitsrelevanten Vorgängen ein.