Budowanie lepszego, bezpieczniejszego oprogramowania
Skąd mamy mieć pewność, czy oprogramowanie na naszym komputerze jest bezpieczne? Poprawa bezpieczeństwa oprogramowania to temat projektu SHIELDS (Wykrywanie znanych zagrożeń bezpieczeństwa na podstawie narzędzi projektowych i programistycznych), który otrzymał 3,25 mln EUR z tematu "Technologie informacyjne i komunikacyjne" (TIK) Siódmego Programu Ramowego (7PR). Projekt, który oficjalnie zakończy się w czerwcu, pomaga odpowiedzieć na problem zabezpieczenia oprogramowania. Nawet teraz, kiedy technologia szybko posuwa się naprzód, systemy aplikacji komputerowych bywają ograniczane przez słabe punkty w zabezpieczeniach. Co więcej postęp jako taki ma wiele wspólnego z samym problemem. Na przykład współczynnik awarii rośnie wraz z potrzebą chronienia coraz większych zasobów krytycznych danych i systemów (kwestia audytu oprogramowania). Poza tym wraz z postępem w informatyce i wzrostem poziomu złożoności oprogramowania, pojawia się coraz więcej wad. Kolejny problem to eskalacja zagrożeń na jakie narażone są systemy informatyczne, coraz częściej postrzegane - ze względów ekonomicznych lub politycznych - jako cele przez doskonale wyposażonych przestępców. Zapory i programy antywirusowe do ochrony oprogramowania stają się niewystarczające i eksperci coraz częściej wskazują na potrzebę wbudowywania zabezpieczeń jako podstawowego elementu samego oprogramowania. Jak przekonuje zespół SHIELDS na szczeblu branżowym niektóre z problemów nie ustępują, ponieważ informacje o znanych wadach nie są udostępniane programistom ani integrowane z narzędziami, z których korzystają do tworzenia oprogramowania. Zwykle bazy danych, do których programiści mają dostęp, opisujące słabe punkty zawierają jedynie ogólne informacje o problemach, ocenie ryzyka, rozwiązaniach i narzędziach (najczęściej pisanych, tak czy inaczej, raczej z myślą o użytkownikach niż programistach). Brak informacji dla programistów oznacza brak pomocy w znajdywaniu i usuwaniu słabych punktów. Od uruchomienia projektu SHIELDS w 2008 r. podejście zespołu polegało na skoncentrowaniu się na lukach we wiedzy i komunikacji, jakie istnieją pomiędzy ekspertami od zabezpieczeń a programistami. Celem projektu SHIELDS było zapobieżenie przypadkowemu wprowadzeniu znanych wad w zabezpieczeniach do nowego oprogramowania poprzez przekazywanie programistom istotnych informacji z poszczególnych działów branży. Nowe narzędzia ułatwią ekspertom od zabezpieczeń - i przyśpieszą - przekazywanie informacji o słabych punktach, co z kolei pomoże programistom unikać ich, wykrywać i usuwać je. Rozwiązanie zaproponowane w ramach projektu SHIELDS polega na stworzeniu wspólnego magazynu informacji o zabezpieczeniach dla wszelkiego typu narzędzi i metod zabezpieczających pod nazwą Security Vulnerability Repository Service (SVRS). Magazyn SVRS to centralny element serwisu SHIELDS. Ma służyć przede wszystkim jako pośrednik między ekspertami od zabezpieczeń a programistami. Przechowywane i zarządzane są w nim powiązane i złożone zasoby wiedzy o zabezpieczeniach. Ponadto zespół opracował dwa programy certyfikacji dla branży: SHIELDS Compliant (zgodny z SHIELDS) oraz SHIELDS Verified (zweryfikowany przez SHIELDS). Certyfikat SHIELDS Compliant stosowany jest wobec narzędzi zgodnych z SVRS, a certyfikat SHIELDS Verified służy do zatwierdzania oprogramowania, które zostało zweryfikowane pod kątem słabych punktów w zabezpieczeniach w trakcie procesu tworzenia. Wyniki prac projektu SHIELDS z powodzeniem przeszły już kilka weryfikacji, w których zademonstrowano podejście SHIELDS i modelowe narzędzia testowe. Studia przypadku wykazały ograniczenie problemów z zabezpieczeniem oprogramowania oraz to, że narzędzia są odpowiednie zarówno dla ekspertów ds. zabezpieczeń, jak i programistów. Niemal wszystkich ośmiu testerów wysoko oceniło możliwości narzędzi SHIELDS w wykrywaniu słabych punktów w zabezpieczeniach. Podczas 30-miesięcznego projektu zespół stworzył narzędzia na miarę nowych technologii oraz przekazał przydatne informacje programistom i konsumentom. Narzędzia umożliwiają testowanie (Flinder opracowany przez SEARCH-LAB, TEG - przez Montimage i Institut TELECOM), monitorowanie (TIC oraz TIPS opracowane przez Montimage i Institut TELECOM), edytowanie modeli (GOAT opracowany przez LiU, SeaMonster - przez SINTEF), jak również prowadzenie kontroli (DEFECT opracowany przez Fraunhofer). W skład konsorcjum SHIELDS wchodzą Institut TELECOM/TELECOM SudParis (Francja), Montimage EURL (Francja), Fraunhofer IESE (Niemcy), SEARCH-LAB Ltd (Węgry), TXT e-solutions SPA (Włochy), SINTEF (Norwegia), Europejski Instytut Programistyczny (Hiszpania) oraz Linköpings Universitet (Szwecja).