TraceSec
| Leitung: | Prof. Dr. Kurt Schneider |
| Team: | Alexander Specht, Marc Herrmann, Ben Luca Schüring |
| Jahr: | 2023 |
| Förderung: | Deutsche Forschungsgemeinschaft (DFG) |
| Laufzeit: | 2023-2026 |
| Weitere Informationen | https://gepris.dfg.de/gepris/projekt/500462081 |
Motivation
Softwaresysteme sind und werden in der heutigen Zeit zunehmend komplexer und umfangreicher. Dabei können im Bereich der IT-Sicherheit (Security = Sec) Probleme entstehen. Je nach Domäne sind diese Sicherheitsprobleme schwerwiegender als andere. Kommt es vor, dass Software Fehlverhalten aufweist, so fehlt bei einigen Softwareentwicklern die Fähigkeit oder die Erfahrung diese Fehler zu beheben. So ist es sinnvoll nachhaltig vergangene Sicherheitsprobleme zu dokumentieren und Lösungen auf neue Projekte zu übertragen/verfolgen (Tracing = Trace) und in Zukunft Entwickler dabei unterstützen daraus zu lernen. Dabei entstehen verschiedene Fragen, wie z.B. was sind die Artefakte, die untersucht werden sollen oder wie können wir aus vergangenen sicherheitskritischen Problemen lernen?
Ziele
Qualitätsmodelle werden verwendet, um sicherheitsrelevante Informationen auf mehreren Ebenen zu organisieren. Die Verfolgung sicherheitsrelevanter Aktivitäten anhand von Artefakten und eines Qualitätsmodells adressiert alle drei Kernherausforderungen auf einmal: Entwicklung, Problemanalyse und Lernen. Software-Organisationen sollen sicherheitsrelevante Spuren (Traces) hinterlassen, sie vergleichen und durch Soft Matching und intelligente Operationen wiederverwenden. Automatisierte Unterstützung und menschliches Urteilsvermögen sollen kombiniert und TraceSEC zu einem wahrhaft soziotechnischen Ansatz gemacht werden.
Überblick einer typischen Software
Publikationen
Ahrens, M., Nagel, L., (2023) All Eyes on Traceability: An Interview Study on Industry Practices and Eye Tracking Potential, In IEEE 31th Requirements Engineering Conference (RE'23), Hannover, Germany.
Herrmann, Marc, et al. "From missile warhead to smart fridge: Interviews with industry experts on tracing safety-and security-relevant artifacts." Journal of Systems and Software (2025): 112551.
Schüring, Ben Luca, et al. "Generating context-aware learning materials for software security via llm agents and traceability." 2025 IEEE 33rd International Requirements Engineering Conference Workshops (REW). IEEE, 2025.
Paßlack, Jan-Marc, et al. "Can we use llms to recover trace links between source code and security requirements?." 2025 IEEE 33rd International Requirements Engineering Conference Workshops (REW). IEEE, 2025.
Ehl, Marco, et al. "Supporting Software Engineers in IT Security and Privacy through Automated Knowledge Discovery." Proceedings of the 40th ACM/SIGAPP Symposium on Applied Computing. 2025.
Peldszus, Sven, et al. "Too Many Issues: Automatically Prioritizing Analyzer Findings by Tracing Security Importance." ACM Transactions on Software Engineering and Methodology.
