Untersuchung des Zusammenhangs zwischen Software-Produktmetriken und dem Auftreten von Schwachstellen

Abstract

Im Rahmen dieses Projekts wurde der Zusammenhang zwischen dem Auftreten von Schwachstellen und Software-Produktmetriken auf Grundlage künstlicher neuronaler Netze untersucht. Schwachstellen basieren auf Fehlern und Bugs eines Software-Produkts, wodurch eine Schnittstelle für Angreifer entsteht, durch deren Ausnutzung der Zugriff auf vertrauliche Informationen und die Manipulation von Daten ermöglicht werden kann. Dementsprechend kann die Existenz von Schwachstellen innerhalb einer Software-Anwendung die Qualität dieser Software beeinträchtigen. Mittels Software-Produktmetriken können beispielsweise die Eigenschaften des Quellcodes einer Software quantifiziert werden, wodurch die Verwendung solcher Metriken eine interessante Grundlage für Modelle der Schwachstellenerkennung repräsentiert. Unter Verwendung des CVEfixes-Datensatzes wurden mithilfe der Metriken-Extraktionstolls Understand und Analizo drei verschiedene Datensätze erstellt, die insgesamt über 80 verschiedene Metriken enthalten. Basierend auf der Methode der korrelationsbasierten Merkmalsauswahl sollte die Dimensionalität dieser Datensätze zusätzlich reduziert werden. Auf Grundlage dieser Datensätze wurden Modelle künstlicher neuronaler Netze zur Erkennung des Auftretens von Schwachstellen sowie zur Bewertung ihrer Schwere trainiert. Alle Modelle verfügen allerdings über eine schlechte Performanz aufgrund einer schlechten Datenqualität. Durch die Anwendung verschiedener Korrelationsanalysen konnten außerdem nur wenige, schwache Korrelationen zwischen den Metriken und den verwendeten Zielgrößen und viele, starke Korrelationen zwischen den einzelnen Metriken identifiziert werden. Daher wurde die Qualität der reduzierten Datensätze ebenfalls stark beeinträchtigt.