Zum Hauptinhalt springen
Forschung

Entwicklungsbegleitendes Testen soll zukünftig für mehr Sicherheit von Anfang an sorgen

Automated Software Testing von Bosch

Automated testing security team

Unser Alltag wird schneller, smarter und besser verknüpft. In den positiven Entwicklungen der Digitalisierung und den wachsenden Möglichkeiten, Produkte mit dem Internet zu verknüpfen, steckt jedoch auch eine Herausforderung: Hackerangriffe nehmen nicht nur stetig zu, sie werden auch komplexer. Diese Tatsache macht Cybersecurity noch wichtiger. Die Bosch Forschung arbeitet an Lösungen, Software bereits im Entwicklungsprozess sicherer zu machen. Dies kann nur mit einer hochgradig automatisierten, entwicklungsbegleitenden Code-Analyse gelingen.

„Smart Times“ und die Antwort von Bosch

IT-Sicherheit ist eine der Schlüsseltechnologien für vernetzte Produkte von Bosch. Auch unsere Produkte sind immer anspruchsvolleren Cyberangriffen ausgesetzt, besonders Angriffen aus der Ferne, die durch die Konnektivität der verschiedenen Produkte mit dem Internet ermöglicht werden. Diese Produkte reichen vom vernetzten Sensor über ein vernetztes, autonomes Auto bis hin zum Smart Home und laufen alle mit Software.

Die meisten Angriffe in der Praxis nutzen Security-Schwachstellen in der Software aus. Dies ist ein großes – wenn nicht sogar das größte – Sicherheitsproblem für alle vernetzten Produkte / im Internet der Dinge.

Sicherheitslücken in moderner Software manuell zu suchen, ist aufgrund der teilweise mehrerer Millionen Zeilen Code sehr aufwändig und somit nicht praktikabel. Wichtig sind daher automatisierte Security Tests, um diese sicherheitsrelevanten Schwachstellen in Software zu erkennen.

Die Frage, wie eine effektive Methodik und Infrastruktur für automatisierte Security Tests gestaltet werden kann und welche Tools für das Testen der Software eingesetzt werden sollten, steht daher im Fokus unserer Forschungsarbeit.

Die Lösung: Automated Security Testing

automated security testing team

Ressourcen schonen, Kapazitäten und Kompetenzen optimal nutzen – das ist aktuell wichtiger denn je. Und so geht es auch im Bereich der automatisierten Erkennung von Software-Schwachstellen darum, bestehende Arbeitsabläufe der Code-Analyse zu verbessern. Oder anders gesagt: zu automatisieren – und das entwicklungsbegleitend. Automatische Fehlersuche, automatisierte Code- sowie eine automatisierte Sicherheitsprüfung während der Entwicklungsphase sind Ansätze, die in der Bosch Forschung weiterentwickelt werden.

Das Bosch Forschungs-Projekt trägt den Namen „Software Dependability Assurance“ – kurz: SoDA – und befasst sich mit dem Thema der automatisierten Software-Analyse.

Die Bosch Forschung arbeitet an einer Lösung für automatisierte Sicherheitstests von Software, die speziell für vernetzte Produkte von Bosch entwickelt wird. Diese Lösung basiert auf einer Plattform, die eine kontinuierliche Sicherheitsanalyse und -prüfung in allen Phasen des Softwareentwicklungsprozesses ermöglicht. Im Kern geht es bei der Plattform um eine automatisierte Erkennung von Sicherheitsschwachstellen im Quellcode. Sicherheitstests und das damit verbundene Aufdecken von Sicherheitsschwachstellen werden bereits während der Entwicklungsphase des Softwareprodukts vollautomatisch und autonom durchgeführt. Wir sprechen hier von einem „entwicklungsbegleitenden Testen", das einen spürbaren Mehrwert bietet. Wird die automatische Fehlersuche bereits in den Entwicklungsprozess integriert, kann effektiver gearbeitet und schneller auf Schwachstellen im Code reagiert werden, was zu mehr Sicherheit und zu einer effizienteren Arbeitsweise führt.

Konkret bedeutet eine automatische Codeprüfung für den Entwickler:

Paul Duplys

Bugs früh und automatisiert finden und dadurch einfach bessere Software schreiben.

Paul Duplys, Leiter Kompetenzsegment Safety, Security & Privacy in der Bosch Forschung

Automated Security Testing und die damit einhergehende automatisierte Erkennung von Softwareschwachstellen bietet einen nachvollziehbaren Vorteil für Entwickler: Die automatische Suche nach Sicherheitslücken reduziert den manuellen Aufwand erheblich. Da Fehler bereits im Entwicklungsprozess identifiziert werden können, trägt eine automatisierte Codeprüfung zusätzlich dazu bei, die Gesamtsicherheit der Systeme zu erhöhen.

Das Ziel unserer Forschungsarbeit

Rakshith Amarnath
“IT-Giganten wie Microsoft und Google haben White Hat Teams, um ihre Produkte auf Sicherheitslücken intern vor der Veröffentlichung zu testen. Im SoDA Projekt haben die Experten meines Teams einen Prototyp entwickelt, der es uns ermöglicht, diese Tests bei Bosch Connectivity Produkten in großem Umfang durchzuführen.“
Rakshith Amarnath, Projektleiter SoDA in der Bosch Forschung

Ziel der Bosch Forschung ist es, smarte Lösungen für eine immer stärker vernetzte Welt zu finden. Die Anzahl der internetfähigen Bosch Produkte wird zukünftig weiter steigen. Auf der einen Seite schafft Konnektivität einen deutlichen Mehrwert für die Anwender – auf der anderen Seite bedingt sich jedoch auch ein neues Verständnis von Cyber-Sicherheit, da durch Vernetzung auch die Gefahr von Angriffen steigt. Automatisierte Sicherheitstests ermöglichen es, Probleme oder Sicherheitslücken im Code bereits frühzeitig in der Entwicklungsphase zu erkennen und so den Aufwand für die Softwareentwickler zu reduzieren. Auf diese Weise entstehen sichere, zuverlässige sowie innovative Bosch Produkte.

Mehr erfahren über Software-Analyse-Methoden und Hackerangriffe

Teile diese Seite auf