Descripción del proyecto
Generación automática de casos de prueba para identificar amenazas para la seguridad
¿Qué errores relacionados con la seguridad cometen los desarrolladores de «software» y por qué los cometen? La respuesta a esta pregunta ayudará a conformar un marco teórico imprescindible para el ámbito de las pruebas de seguridad, que identifica amenazas y mide vulnerabilidades en aplicaciones de «software». El proyecto EAST, financiado con fondos europeos, diseñará nuevas técnicas que puedan utilizarse para generar automáticamente casos de prueba para grandes sistemas web o empresariales y que puedan encontrar tipos comunes de amenazas de seguridad. En concreto, las herramientas y técnicas desarrolladas durante el proyecto EAST ayudarán a estudiar y ampliar nuestra comprensión sobre qué tipos de errores relacionados con la seguridad cometen los desarrolladores en la práctica. En último término, este proyecto contribuirá a la ingeniería de «software», a la computación evolutiva y a la seguridad informática, especialmente en el desarrollo de avances en la investigación del denominado problema del oráculo, que determina si una prueba ha tenido éxito o no.
Objetivo
--------------------
With the EAST project, I aim to improve our understanding of the intrinsic characteristics of web/enterprise systems related to their security. I will achieve it by designing novel techniques that are able to scale to automatically generate test cases for large web/enterprise systems, and that can automatically find common types of security threats. This is a necessary stepping stone before reaching the high risk / high impact goal of designing testing systems that can adapt and learn, finding classes of security threats for which currently there is no automated solution due to the oracle-problem.
I will contribute towards this goal by constructing and studying classes of co-evolutionary algorithms that evolve in competition in separate populations of test cases for graphical user interfaces (e.g. web app GUIs) and direct network calls (e.g. HTTP).
The tools and techniques developed in the EAST project will be instrumental to study and broaden our understanding of what kinds of security-related mistakes do developers make in practice, and why they are made. Such scientific knowledge will be at the base to form a so much needed theoretical framework for the field of security testing.
The project will contribute to software engineering (insight in web/enterprise systems and automated methods for system testing), evolutionary computation (in particular co-evolutionary algorithms for the domain of software test generation), and computer security (in particular developing breakthroughs in investigating the so-called oracle-problem).
Ámbito científico
Programa(s)
Régimen de financiación
ERC-COG - Consolidator GrantInstitución de acogida
0107 Oslo
Noruega