Entwicklung eines Systems zur automatisierten statischen Sicherheitsüberprüfung von Software Repositories zur Integration in agile Softwareentwickungsprozesse

Abstract

Bei modernen agilen Softwareentwicklungsprozessen hat aufgrund der drei konkurrienden Ressourcen Zeit, Geld und Qualität häufig einer dieser Aspekte das Nachsehen. Im Zuge von Zeitdruck kann es insbesondere passieren, dass die IT-Sicherheit während der Softwareentwicklung vernachlässigt wird. Als Folge daraus wurde in der Vergangenheit beobachtet, dass in Programmquelltexten, die in öffentlichen Softwarerepositories zu finden sind des Öfteren sensible Informationen bzw. Zugangsdaten im Klartext zu finden sind, oder auch Softwareabhängigkeiten zu Drittanbietersoftware bestehen, die Schwachstellen aufweisen. Diese Arbeit versucht durch die Konzeption und Entwicklung eines Systems, dass diese Probleme erkennt, eine Lösung anzubieten, welche gleichzeitig in der praktischen Anwendung minimalen Zusatzaufwand bedeutet.

Modern agile software development in many cases has to deal with three different planning resources of project management which form a trilemma: Time, money and quality. As a result software security sometimes gets neglected because of time pressure which is followed by lack of dilligence. Furthermore it was discovered that often times public available software repositories contain undisclosed confidental secrets in their containing source code, aswell as 3rd party libraries, which contain vulnerabilities or weaknesses. As a solution approach this piece of work provides a concept for a system, aswell as an implementation of this system, which tackles stated issues and at the same tries to generate as little extra work as possible in the daily software development routine.