Auflistung nach Autor:in "Massacci, Fabio"
1 - 2 von 2
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragTaintBench: Automatic Real-World Malware Benchmarking of Android Taint Analyses(Software Engineering 2022, 2022) Luo, Linghui; Pauck, Felix; Piskachev, Goran; Benz, Manuel; Pashchenko, Ivan; Mory, Martin; Bodden, Eric; Hermann, Ben; Massacci, FabioDue to the lack of established real-world benchmark suites for static taint analyses of Android applications, evaluations of these analyses are often restricted and hard to compare. Even in evaluations that do use real-world applications, details about the ground truth in those apps are rarely documented, which makes it difficult to compare and reproduce the results. Our recent study fills this gap. It first defines a set of sensible construction criteria for such a benchmark suite. It further proposes the TaintBench benchmark suite designed to fulfil these construction criteria. Along with the suite, this paper introduces the TaintBench framework, which allows tool-assisted benchmark suite construction, evaluation and inspection. Our experiments using TaintBench reveal new insights of popular Android taint analysis tools.
- ZeitschriftenartikelTowards Systematic Achievement of Compliance in Service-Oriented Architectures: The MASTER Approach(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Lotz, Volkmar; Pigout, Emmanuel; Fischer, Peter M.; Kossmann, Donald; Massacci, Fabio; Pretschner, AlexanderDienstorientierte Architekturen (Service Oriented Architectures – SOA) sind dank der Flexibilität der Dienste und der aus ihnen komponierten Anwendungen die heutige Referenz für die IT-Unterstützung agiler Unternehmen, die in einem dichten Netz mit Partnerunternehmen agieren und dynamisch Geschäftsprozesse ausgliedern. Die mit SOA einhergehenden Möglichkeiten haben aber gleichzeitig Konsequenzen hinsichtlich der Einhaltung von Regularien und Vorschriften: abstrakte Dienstschnittstellen, verteilte Verantwortlichkeiten und Interaktion über Unternehmensgrenzen hinweg stellen verschärfte Anforderungen an die Implementierung organisatorischer Kontrollprinzipien in einer SOA, insbesondere hinsichtlich der Bewertung der Effektivität der umgesetzten Maßnahmen.Automatisierung bei der Umsetzung und kontinuierlichen Bewertung von Kontrollmaßnahmen ist essentiell. Der vorliegende Beitrag beschreibt die damit einhergehenden Herausforderungen anhand eines eingängigen Beispiels, um dann eine auf IT-Sicherheitsmaßnahmen fokussierte Methodik und Architektur einzuführen, die die Unterstützung aller Phasen im Lebenszyklus von Kontrollmaßnahmen ermöglichen. Die Architektur beinhaltet in eine SOA eingebettete Komponenten zur Beobachtung, Bewertung, Entscheidungsunterstützung und automatisierten Umsetzung von Maßnahmen. Der Ansatz basiert auf ausführbaren Modellen zur Bereitstellung von Kontextinformation auf unterschiedlichen Abstraktionsebenen sowie deklarativen Policies, die eine Steuerung der Maßnahmen erlauben. Modellen und Policies werden Indikatoren gegenübergestellt, die die Bewertung der umgesetzten Maßnahmen ermöglichen und Anhaltspunkte für kritische Situationen und notwendige Entscheidungen liefern.Die vorgestellten Konzepte werden im Rahmen des EU-Förderprojektes MASTER realisiert, das damit den ersten automatisierten Ansatz zur systematischen Umsetzung von Compliance-Anforderungen in SOA liefern wird.AbstractService-oriented architectures (SOA) have been successfully adapted by agile businesses to support dynamic outsourcing of business processes and the maintenance of business ecosystems. Still, businesses need to comply with applicable laws and regulations. Abstract service interfaces, distributed ownership and cross-domain operations introduce new challenges for the implementation of compliance controls and the assessment of their effectiveness.In this paper, we analyze the challenges for automated support of the enforcement and evaluation of IT security controls in a SOA. We introduce these challenges by means of an example control, and outline a methodology and a high-level architecture that supports the phases of the control lifecycle through dedicated components for observation, evaluation, decision support and reaction. The approach is model-based and features policy-driven controls. A monitoring infrastructure assesses observations in terms of key indicators and interprets them in business terms. Reaction is supported through components that implement both automated enforcement and the provision of feedback by a human user. The resulting architecture essentially is a decoupled security architecture for SOA with enhanced analysis capabilities and will be detailed and implemented in the MASTER project.