TY - THES AB - In der modernen Softwareentwicklung ist die Einbindung von Open-Source Software (OSS) Bibliotheken und Frameworks gängige Praxis, um Zeit und Kosten zu sparen. Allerdings birgt die Verwendung von OSS das Risiko, bekannte Schwachstellen einzubinden. Diese müssen von EntwicklerInnen entdeckt und behoben werden. In der Arbeit werden Methoden und Werkzeuge vorgestellt, um das Risiko von Schwachstellen in genutzten OSS in Java-Anwendungen zu minimieren. Um Probleme von Schwachstellenscannern bei der Erkennung von OSS mit bekannten Schwachstellen zu identifizieren, wird eine Fallstudie an 7,024 bei SAP entwickelten Projekten durchgeführt. Die Studie zeigt, dass EntwicklerInnen OSS regelmäßig modifizieren und Scanner Probleme haben, Schwachstellen in modifizierten OSS zu erkennen. Um diesem Problem zu begegnen, wird das Werkzeug SootDiff vorgestellt. Um bei einem Update genutzter OSS das Risiko zu verringern, Fehler in die Anwendung einzuführen, wird das Werkzeug UpCy entworfen. UpCy analysiert, wie die Anwendung OSS nutzt, um Updates mit minimalen Inkompatibilitäten zu finden. Die Evaluierung zeigt, dass UpCy effizient Updates ohne Inkompatibilitäten findet. Um zu verhindern, dass Schwachstellen in einer Komponente sich auf andere auswirken, wird das Potential des Java Modulsystems zur Isolation von Drittsoftware analysiert. Hierzu wird die statische Analyse ModGuard entwickelt. ModGuard identifiziert Datenflüsse, die den Zugriff auf oder die Manipulation von sensiblen Daten ermöglichen. In einer Fallstudie an dem Webserver Tomcat, werden Module in realen Anwendungen untersucht. Da die Studie zeigt, dass Module den Zugriff auf sensible Daten nur bedingt verhindern, werden weitere Möglichkeiten zur Isolation diskutiert. Die Arbeit zeigt, dass die entwickelten Methoden und Werkzeuge SootDiff, UpCy und ModGuard die sichere Nutzung von OSS vorantreiben können. AU - Dann, Andreas Peter CY - Paderborn DA - 2024 DO - 10.17619/UNIPB/1-1973 DP - Universität Paderborn LA - eng N1 - Tag der Verteidigung: 21.03.2024 N1 - Universität Paderborn, Dissertation, 2024 PB - Veröffentlichungen der Universität PY - 2024 SP - 1 Online-Ressource (xiii, 178 Seiten) T2 - Heinz Nixdorf Institut (HNI) TI - Secure use of open-source software: a systematic study and techniques for Java UR - https://nbn-resolving.org/urn:nbn:de:hbz:466:2-51768 Y2 - 2025-04-25T11:47:06 ER -