In kritischen Domänen wie Luft- und Raumfahrt, Schienenverkehr oder Finanzwirtschaft werden hohe Investitionen getätigt, um die in den jeweiligen Systemen eingesetzte Software zu testen und mittels statischer Analyse zu prüfen. Im IoT-Bereich hingegen liegt der Fokus auf einer kurzen Entwicklungszeit und niedrigen Entwicklungskosten. Dies steht im Konflikt zum Einsatz bisheriger Methoden der statischen Analyse, da deren Anwendung sowohl komplex als auch kostenintensiv ist. Dadurch wird eine umfassende Sicherheitsprüfung von IoT-Systemen erschwert.

Ziel von VESSEDIA

Ziel des VESSEDIA-Projektes ist es, die Einsatzmöglichkeiten von Softwareanalyse-Werkzeugen zu erweitern. Die Nutzung der Werkzeuge soll für hochdynamische Systeme in Domänen mit weniger kritischen Anwendungen erleichtert werden. Darüber hinaus sollen die entwickelten Analyseverfahren geringe zusätzliche Kosten verursachen.

Die Ziele des VESSEDIA-Projekts werden sowohl in Form von Grundlagenforschung als auch in praktischer Anwendung verfolgt. Schwerpunkte des Projekts sind:

• die Entwicklung einer Methodik, um Werkzeuge zur Softwareanalyse wirksam einzusetzen,
• die Standardisierung von Werkzeugen zur statischen Analyse, um deren Einsatzmöglichkeiten zu erweitern,
• der Nachweis der verbesserten Analysemethoden auf dem für die Entwicklung von IoT-Anwendungen weit verbreiteten Betriebssystem Contiki OS,
• die Entwicklung eines »Security Certification Levels« (SCL) für IoT-Anwendungen, für die eine Common Criteria-Zertifizierung zu kostenintensiv ist.

Safety und Security

Innerhalb des VESSEDIA Projekts übernimmt Fraunhofer FOKUS die Leitung für den Bereich »Safety and Security Verification Methodologies«. Kernaufgaben sind unter anderem:

• die Qualitätssicherung für die weiterentwickelten statischen Analyse-Werkzeuge,
• die Entwicklung einer Methode um statische Analysen mit dem Werkzeug Frama-C zu beschleunigen,
• die Ausgestaltung von Leitlinien für eine kosteneffiziente Kombination von statischer Analyse und Testen für IoT-Anwendungen.