ACSC

ACSC

Auf dem Weg zur automatisierten kontinuierlichen Einhaltung von Sicherheitsvorschriften

ACSC

Das Projekt ACSC (Automated Continuous Security Compliance) bewegt sich im Spannungsfeld zwischen kontinuierlicher Softwareentwicklung und der Einhaltung sicherheitsrelevanter Anforderungen bei softwareintensiven Produkten. Wir erforschen Herausforderungen und Möglichkeiten automatisierter Security-Compliance-Aktivitäten, entwerfen und implementieren Lösungen und evaluieren diese im industriellen Kontext.

Projektbeschreibung

Mittlerweile muss fast jedes softwareintensive System die Anforderungen aus sicherheitsrelevanten Vorschriften und Normen wie ISO 27001 oder IEC 6243 erfüllen. Manuelle Compliance-Analysen mit solchen Anforderungen sind ressourcenintensiv und fehleranfällig und behindern die Einführung von kontinuierlichen Softwareentwicklungsmethoden wie Agile.

Die inhärenten Herausforderungen zwischen kontinuierlicher Softwareentwicklung und der reproduzierbaren Einhaltung von Sicherheitsanforderungen sind eine zentrale Herausforderung bei der Entwicklung von industrieller Großsoftware. Die Automatisierung von Sicherheits-Compliance-Aktivitäten, wo möglich und sinnvoll, bietet daher einen Weg, um langfristig eine starke Wettbewerbsfähigkeit auf dem Markt zu gewährleisten.

Forschungsbeitrag

fortiss analysiert die Herausforderungen bei automatisierten Security Compliance Aktivitäten in der Praxis. Unter Berücksichtigung der Relevanz der Herausforderungen und des damit verbundenen Automatisierungspotenzials konzipiert und integriert fortiss Lösungen in laufende Projekte mit relevanten Sicherheitsanforderungen. Dabei werden die Grenzen der Automatisierung ausgelotet und konkrete Lösungen entwickelt und in der Praxis erprobt, um deren Nutzen zu gewährleisten.

Förderung

Projektdauer

01.09.2023 - 31.08.2026

 Florian Angermeir

Ihr Kontakt

Florian Angermeir

+49 89 3603522 279
angermeir@fortiss.org

Projektpartner

Publikationen

  • 2024 Industrial Challenges in Secure Continuous Development Fabiola Moyón , Florian Angermeir und Daniel Mendez In 46th International Conference on Software Engineering: Software Engineering in Practice, 2024. ACM. Details DOI BIB
  • 2024 Automated Security Findings Management: A Case Study in Industrial DevOps Markus Voggenreiter , Florian Angermeir , Fabiola Moyón , Ulrich Schöpp und Pierre-Louis Bonvin In 46th International Conference on Software Engineering: Software Engineering in Practice, 2024. ACM. Details DOI BIB
  • 2024 Towards Automated Continuous Security Compliance Florian Angermeir , Jannik Fischbach , Fabiola Moyón und Daniel Mendez In Proceedings of the 18th ACM/IEEE International Symposium on Empirical Software Engineering and Measurement, 2024. ACM. Details DOI BIB