SDQ-Institutsseminar

Aus SDQ-Institutsseminar

Das SDQ-Institutsseminar ist eine ständige Lehrveranstaltung, die den Zweck hat, über aktuelle Forschungsarbeiten in den zu Software Design and Quality (SDQ) gehörigen Forschungsgruppen innerhalb von KASTEL – Institut für Informationssicherheit und Verlässlichkeit zu informieren. Insbesondere soll Studierenden die Gelegenheit gegeben werden, über ihre Bachelor- und Masterarbeiten vor einem größeren Auditorium zu berichten. Schwerpunkte liegen dabei auf der Problemstellung, den Lösungsansätzen und den erzielten Ergebnissen. Das Seminar steht aber allen Studierenden und Mitarbeitenden des KIT sowie sonstigen Interessierten offen.

Das Seminar findet auf Wunsch hybrid mit online zugeschalteten Teilnehmenden statt. Bitte dies den Betreuenden rechtzeitig mitteilen, damit diese die notwendigen Geräte aufbauen können.

Ort Gebäude 50.34, Seminarraum 010 oder online, siehe Beschreibung
Zeit jeweils freitags, 11:30–13:00 Uhr

Die Vorträge müssen den folgenden zeitlichen Rahmen einhalten (siehe auch SDQ-Wiki):

  • Masterarbeit: 30 Minuten Redezeit + 15 Minuten Diskussion
  • Bachelorarbeit: 20 Minuten Redezeit + 10 Minuten Diskussion

Weitere Informationen

Nächste Vorträge

Termine in Kalender importieren: iCal (Download)

Freitag, 7. Juni 2024, 09:30 Uhr

iCal (Download)
Ort: Raum 333 (Gebäude 50.34)

Vortragende(r) Debora Marettek
Titel Elicitation and Classification of Security Requirements for Everest
Vortragstyp Masterarbeit
Betreuer(in) Sophie Corallo
Vortragsmodus in Präsenz
Kurzfassung Unvollständige und nicht überprüfte Anforderungen können zu Missverständnissen und falschen Vorstellungen führen. Gerade im Sicherheitsbereich können verletzte Anforderungen Hinweise auf potenzielle Schwachstellen sein. Um eine Software auf Schwachstellen zu prüfen, werden Sicherheitsanforderungen an ihre Implementierung geknüpft. Hierfür müssen spezifische Anforderungsattribute identifiziert und mit dem Design verknüpft werden.

In dieser Arbeit werden 93 Sicherheitsanforderungen auf Designebene für die Open-Source-Software EVerest, einer Full-Stack-Umgebung für Ladestationen, erhoben. Mithilfe von Prompt Engineering und Fine-tuning werden Designelemente mittels GPT klassifiziert und ihre jeweiligen Erwähnungen aus den erhobenen Anforderungen extrahiert. Die Ergebnisse deuten darauf hin, dass die Klassifizierung von Designelementen in Anforderungen sowohl bei Prompt Engineering als auch bei Fine-tuning gut funktioniert (F1-Score: 0,67-0,73). In Bezug auf die Extraktion von Designelementen übertrifft Fine-tuning (F1-Score: 0,7) jedoch Prompt Engineering (F1-Score: 0,52). Wenn beide Aufgaben kombiniert werden, übertrifft Fine-tuning (F1-Score: 0,87) ebenfalls Prompt Engineering (F1-Score: 0,61).

Vortragende(r) Robin Maisch
Titel Preventing Refactoring Attacks on Software Plagiarism Detection through Graph-Based Structural Normalization
Vortragstyp Masterarbeit
Betreuer(in) Timur Sağlam
Vortragsmodus in Präsenz
Kurzfassung Detecting software plagiarism among a set of code submissions by students remains a challenge. Plagiarists often obfuscate their work by modifying it just enough to avoid detection while preserving the code’s runtime behavior in order to create an equally valid solution as the original. This type of modification is commonly known as refactoring. The state-of-the-art in plagiarism detection, token-based approaches, are immune against some types of refactorings by their very design, whereas other types create very effective plagiarism.

This thesis presents a novel approach that uses refactorings as a means to normalize the structure of code submissions. This normalized structure is not affected by refactoring attacks. The normalization engine, implemented as a transformation system for code graphs, was integrated into a token-based plagiarism detection tool. We evaluate our approach on four relevant types of obfuscation attack schemes. From the results, we conclude that the approach is not only on par with the state of the art in its efficacy against all attack schemes, but it even outperforms it by a large margin on combined refactoring attacks.

Freitag, 7. Juni 2024, 11:30 Uhr

iCal (Download)
Ort: Raum 010 (Gebäude 50.34)

Vortragende(r) Melisa Demirhan
Titel Concept and Implementation of a Delta Chain
Vortragstyp Bachelorarbeit
Betreuer(in) Thomas Weber
Vortragsmodus in Präsenz
Kurzfassung Die sich weiterentwickelnde Technologie erfordert eine organisationsübergreifende Zusammenarbeit, um die komplexen Aufgaben bei der Entwicklung komplexer Systeme wie Webservices, IoT und heterogener Systeme zu bewältigen. Auf diese Weise hat die Zusammenarbeit das Potenzial, den hohen Ressourcen- und Qualitätsbedarf zu mindern und von den komplementären Ressourcen der Zusammenarbeit zu profitieren. Dennoch muss während der Zusammenarbeit ein Austausch der Versionen der entwickelten Schnittstellen möglich sein. Während des Austauschs muss der Schutz des geistigen Eigentums der kooperierenden Organisationen und der Metadaten der Versionen berücksichtigt werden, um die Kompetenz der Organisation und die Designentscheidungen zu schützen. Einige existierende Ansätze integrieren einen Server, um die Zugangskontrolle und Autorisierung zu erleichtern und eine feingranulare Verschlüsselung der gemeinsam genutzten Assets und den Schutz des geistigen Eigentums zu bieten. Andere Ansätze integrieren Verschlüsselungsmechanismen in die bestehenden Versionskontrollsysteme, z. B. Git. Für die Zugriffskontrolle nutzen wir jedoch keinen Server und schützen das geistige Eigentum und zusätzlich die Metadaten. Das Thema dieser Arbeit konzentriert sich auf die Vertraulichkeit und Integrität der Modellversionen und ihrer Metadaten. Wir definieren Deltachain, die wir aus Blockchain motivieren. Jedes Element einer Deltachain ist mit einem Vorgänger verknüpft, wodurch eine Kette entsteht. Die Elemente von Deltachain bestehen aus verschlüsselten Modelländerungen mit den entsprechenden Metadaten, um die Vertraulichkeit zu gewährleisten. Darüber hinaus kapselt jedes Element von Deltachain den Hash-Wert der Modelländerung und der Metadaten ein, um die Integrität zu gewährleisten. Wir verwenden den Advanced Encryption Standard für die Verschlüsselung und SHA für das Hashing der Versionen. Um Modelländerungen zwischen zwei Versionen eines Modells zu erkennen, verwenden wir die Vitruv-Tools. Für die Definition des Metamodells und die Implementierung der Deltachain verwenden wir das Eclipse Modeling Framework. Wir evaluieren unseren Ansatz unter den Aspekten der Funktionalität, um die erwartete Leistung von Deltachain zu bestätigen, der Skalierbarkeit, um die Auswirkungen der zunehmenden Versionen und Modelle auf Deltachain zu untersuchen, und der Leistung, um Deltachain mit EMFCompare zu vergleichen. Für die Bewertungsklassen Skalierbarkeit und Leistung finden wir drei Open-Source-Modellierungsprojekte auf GitHub.
Vortragende(r) Thorben Willimek
Titel Definition einer Referenzarchitektur für organisationsübergreifende Zusammenarbeit in modellbasierten Entwicklungsprozessen zur Wahrung des geistigen Eigentums
Vortragstyp Bachelorarbeit
Betreuer(in) Thomas Weber
Vortragsmodus in Präsenz
Kurzfassung Entwicklungsprozesse von komplexen, softwareintensiven Systemen sind heutzutage von organisationsübergreifender Zusammenarbeit geprägt. Organisationen teilen verschiedene Artefakte miteinander und leisten darauf aufbauend ihren Beitrag zur Systementwicklung. Die Synchronisation von Änderungen an solchen geteilten Artefakten erfolgt hauptsächlich in Form von regelmäßigen, aber seltenen Meetings. Darüber hinaus enthalten die Artefakte im Allgemeinen geistiges Eigentum, das geschützt werden muss, auch vor mitwirkenden Organisationen. Wir entwerfen eine Referenzarchitektur, die einen konstanten Datenfluss beim organisationsübergreifenden Austausch von Artefakten unter Schutz des geistigen Eigentums ermöglicht.
Vortragende(r) Katrin Quellmalz
Titel Erzeugung von Verschlüsselungsregeln auf Modelländerungen aus Zugriffskontrollregeln auf Modellelementen
Vortragstyp Masterarbeit
Betreuer(in) Thomas Weber
Vortragsmodus in Präsenz
Kurzfassung In der Softwareentwicklung werden häufig Modelle genutzt. Bei einer Zusammenarbeit an diesen Modellen werden Zugriffskontrollsysteme eingesetzt, um die darin enthaltenen Daten vor unbefugtem Zugriff zu schützen. Aktuell genutzte Ansätze benötigen dafür entweder eine zentrale Zugriffskontrolle, der alle Beteiligten vertrauen müssen, oder sind nur für einen bestimmten Typ Modell nutzbar. Daher befassen wir uns in dieser Arbeit mit der Problemstellung, verschiedene Arten von Modellen ohne eine zentrale Zugriffskontrolle zu teilen. Wir stellen ein Konzept zur Ableitung von Verschlüsselungsregeln aus den Regeln einer Rollenbasierten Zugriffskontrolle, die auf Modellelemente definiert sind, vor. Durch Nutzung von symmetrischer Verschlüsselung und Digitaler Signaturen können Lese- und Schreibrechte ohne einen zentralen Server zur Zugriffskontrolle umgesetzt werden. Modelle werden in unserem Ansatz als Delta Chain und somit als Abfolge von einzelnen Modelländerungen dargestellt, wodurch unser Ansatz für verschiedene Arten von Modellen funktioniert. Die Verschlüsselungsregeln werden auf die einzelnen Modelländerungen angewendet. Zusätzlich haben wir das Konzept prototypisch implementiert. Unsere Implementierung haben wir ausführlich evaluiert. Durch eine funktionale Analyse anhand von Software-Tests konnten wir die Funktionalität unseres Ansatzes zeigen. Eine zusätzlich durchgeführte empirische Evaluation bestätigt diese Aussage, zeigt aber auch Einbußen bei Laufzeit und benötigtem Speicherplatz, die durch die Verschlüsselung in Kauf genommen werden müssen. Die für die empirische Evaluation benötigten realitätsnahen Fallstudien haben wir aus Github-Projekten abgeleitet.

Freitag, 7. Juni 2024, 11:30 Uhr

iCal (Download)
Ort: Raum 333 (Gebäude 50.34)

Vortragende(r) Dieu Lam Vo
Titel Analyzing Efficiency of High-Performance Applications
Vortragstyp Bachelorarbeit
Betreuer(in) Larissa Schmid
Vortragsmodus in Präsenz
Kurzfassung Kurzfassung
Vortragende(r) Daniel Scheerer
Titel Analyzing Scientific Workflow Management Systems
Vortragstyp Bachelorarbeit
Betreuer(in) Larissa Schmid
Vortragsmodus in Präsenz
Kurzfassung Kurzfassung

Freitag, 14. Juni 2024, 11:30 Uhr

iCal (Download)
Ort: Raum 010 (Gebäude 50.34)

Vortragende(r) Alina Valta
Titel Optimierung des Migrationsverfahrens in modellbasierten E/E-Entwicklungswerkzeugen durch bedarfsorientierte Prozessierung der Historie von Bestandsmodellen
Vortragstyp Masterarbeit
Betreuer(in) Erik Burger
Vortragsmodus in Präsenz
Kurzfassung Kurzfassung
Vortragende(r) Julian Roßkothen
Titel Source-Target-Mapping von komplexen Relationen in Modell-zu-Modell-Transformationen
Vortragstyp Masterarbeit
Betreuer(in) Erik Burger
Vortragsmodus in Präsenz
Kurzfassung Bei Modelltransformationen kann es vorkommen, dass Objekte dupliziert werden müssen. Das ist zum Beispiel der Fall, wenn eine Relation zu einer Komposition transformiert wird. Die Probleme können allerdings auch komplexer sein, wenn Quellmetamodell und Zielmetamodell sich stark voneinander unterscheiden.

Die graphische Modelltransformationssprache M²ToS wurde um zwei Sprachkonzepte erweitert, sodass es einfacher ist Objekte dynamisch bei einer Modelltransformation zu Vervielfältigen. Eines der Konzepte kann beeinflussen, wie Objekte bei einer Transformation übertragen werden. Das andere Konzept kann durch eine Nachbereitung des Zielmodells Objekte bei Bedarf duplizieren. Die beiden Spracherweiterung wurden anhand von einem Katalog von Modelltransformationsoperatoren, einigen Praxisbeispielen und durch eine Umfrage zur Benutzbarkeit evaluiert. Dabei hat sich herausgestellt, dass die Sprachkonzepte die Mächtigkeit von M²ToS zwar erhöhen, die Komplexität der Sprache für den Benutzer aber auch erhöht wird.

Freitag, 21. Juni 2024, 11:30 Uhr

iCal (Download)
Ort: Raum 010 (Gebäude 50.34)

Vortragende(r) Odilo Bügler
Titel Extraktion von Label-Propagationsfunktionen für Informationsflussanalysen aus architekturellen Verhaltensbeschreibungen
Vortragstyp Bachelorarbeit
Betreuer(in) Christopher Gerking
Vortragsmodus in Präsenz
Kurzfassung Vertraulichkeit stellt eine Sicherheitseigenschaft dar, die für Systeme von großer Bedeutung sein kann. Eine Möglichkeit, Vertraulichkeitsverletzungen bereits in frühen Phasen des Softwareentwicklungsprozesses zu finden, ist die Analyse auf Datenflussdiagrammen (DFDs). Für eine solche Analyse beschreibt Seifermann eine Transformation aus architekturellen Verhaltensbeschreibungen – insbesondere der des Palladio-Komponentenmodells (PCM). Diese erfordert jedoch noch eine manuelle Vertraulichkeitsspezifikation und berücksichtigt keine impliziten Informationsflüsse. In dieser Arbeit wird daher eine Erweiterung des Transformationsprozesses erarbeitet. Diese verringert den nötigen Spezifikationsaufwand in Form von Label-Propagationsfunktionen und bezieht vorhandene Informationen über implizite Flüsse mit ein. Dafür werden Konzepte aus Typsystemen für Sicherheit herangezogen und auf den Transformationsprozess übertragen. Variablenabhängigkeiten im PCM werden dabei extrahiert und dienen als Grundlage, um Label-Propagationsfunktionen zu generieren. Das Konzept des Sicherheitskontexts wird weiter in die Analyse eingebracht, um implizite Flüsse zu erkennen. Anschließend wird die Erweiterung implementiert und auf die Reduktion des Spezifikationsaufwands sowie die Genauigkeit evaluiert.
Vortragende(r) Jonas Lehmann
Titel Iterative Quelltextanalyse für Informationsflusssicherheit zur Überprüfung von Vertraulichkeit auf Architekturebene
Vortragstyp Masterarbeit
Betreuer(in) Frederik Reiche
Vortragsmodus in Präsenz
Kurzfassung Kurzfassung

weitere Termine