Tracing Dataflow Entities from Requirements to Software Architecture

eine wesentliche Grundlage für dieWartung sicherheitskritischer Systeme, da sie sicherstellt, dass Implementierungen konsistent mit den Anforderungen bleiben und Sicherheitsvorgaben einhalten. Bestehende Ansätze wie SWATTR konzentrieren sich in erster Linie auf Trace Links zu Komponenten, während datenflussorientierte Anforderungen bisher nicht berücksichtigt wurden. Diese Arbeit erweitert bestehende Traceability- Ansätze um sicherheitsrelevante Datenflüsse, indem Large Language Models (LLMs) für die Extraktion von Entitäten und die Erstellung von Trace Links eingesetzt sowie das zugrunde liegende Metamodell um Datenflussrepräsentationen ergänzt werden. Als Fallstudie wurden Anforderungen aus dem Open-Source-Framework EVerest für das Laden von Elektrofahrzeugen mit SecLan-Elementtypen annotiert und zur Erstellung eines Goldstandards genutzt. Dieses Datenset bildet die Grundlage der Evaluation und stellt zugleich eine wertvolle Ressource dar, da annotierte sicherheitsrelevante Anforderungen bislang nur in sehr geringem Umfang verfügbar sind. Die Evaluation zeigt, dass GPT-4.1 Datenfluss-bezogene Elemente mit vielversprechender Genauigkeit extrahieren kann. Für Komponenten wurde ein Recall von 0,92 und ein F2-Wert von 0,86 erreicht, womit der SWATTR-Baseline-Ansatz (Recall 0,80, F2-Wert 0,44) deutlich übertroffen wurde. Über alle Elementtypen hinweg erreichte die Extraktion einen Recall von 0,78 und einen F2-Wert von 0,73. Bei der Trace-Link-Erstellung übertraf GPT-4.1 SWATTR, wenn manuell extrahierte Elemente genutzt wurden. Für die Verknüpfung von Komponenten erzielte GPT-4.1 eine Präzision von 0,88 und einen Recall von 0,88, während SWATTR geringere Werte erreichte (Präzision 0,77, Recall 0,73). Gleichzeitig erwies sich GPT-4.1 bei automatisch extrahierten Eingaben als anfälliger, während SWATTR in diesen Fällen robuster war. Im letzten Schritt konnten Trace Links für alle im Goldstandard annotierten Datenflüsse erstellt werden. Zusätzlich wurden weitere gültige Flüsse entdeckt, die bisher nicht annotiert waren. Diese Ergebnisse zeigen, dass LLM-basierte Ansätze die Rückverfolgbarkeit über reine Komponenten-Verknüpfungen hinaus erweitern und eine Grundlage für die Einführung von Datenfluss-Tracing bieten können. Trotz bestehender Herausforderungen, insbesondere bei der zuverlässigen Extraktion vollständiger Datenflüsse, verdeutlichen die Resultate das Potenzial von LLMs, heuristische Ansätze zu ergänzen und detaillierte Trace Links für sicherheitsrelevante Anforderungen zu ermöglichen.