Reducing Digital Vulnerabilities by Providing Software Engineers with Intelligent Automated Software Security Assessment Technology

Programvare er en viktig faktor i vårt daglige liv og en sentral del av nesten alle sektorer av økonomisk aktivitet. Programvarer eksisterer ikke bare i datamaskiner, men er avgjørende for driften av mobiltelefoner og nettverk, husholdningsapparater, minibanker, biler, fly, medisinske apparater, samt finans- og forretningssystemer. Misbruk av sårbarheter i en programvare kan påvirke alt fra noen tusen til millioner av mennesker og føre til massive skader. Hovedmålet i secureIT-prosjektet er å betydelig redusere sårbarheten i programvaresystemer. Dette gjøres ved å utvikle intelligent analyse teknologi som vil hjelpe programvareutvikleren å automatisk oppdage sårbarhetene i systemets kildekode lenge før de kan misbrukes. For å skape denne teknologien vil prosjektet undersøke to grunnleggende utfordringer: (1) Sårbarhetsprognose basert på gjenkjennelse av såkalte sårbarhetslukter («vulnerability smells») og sikkerhets-antimønstre. Sårbarhetslukter er symptom på kildekoden som kan påvirke programvaresikkerheten negativt. Sårbarhetslukter er ikke nødvenidgvis konkrete feil, men indikasjoner på svakheter som øker risikoen for sikkerhetsproblemer. Sikkerhets-antimønstre er mønstre i kildekoden som er kjent for å føre til sikkerhetsproblemer. (2) Sårbarhetsprognose ved automatisk læring av vanlige mønstre i eksisterende programvare og oppdage hvordan kildekoden til det undersøkte systemet avviker fra de lærte mønstrene. Dette ligner noe på måten kredittkortselskaper oppdager mistenkelige transaksjoner og unngår svindel. Den foreslåtte forskningen er i forkant av internasjonal vitenskapelig tenkning, og vil øke den vitenskapelige ekspertisen til forskning i Norge med en nyskapende og tverrfaglig tilnærming for å redusere den digitale sårbarheten til IKT. Resultatene vil styrke konkurranseevnen til norsk industri og fremme Norge som forsknings- og innovasjonsleder for sikker programvareutvikling. Resultatene av prosjektet inkluderer et åpent, systematisk innsamlet, kildekode-sårbarhets-relatert datasett og et rammeverk som hjelper til med å samle og oppdatere slike datasett. I tillegg har vi publisert en artikkel som diskuterer utfordringene med prediksjonssårbarhet utelukkende basert på funksjonsnavn og flere artikler som diskuterer hvordan automatisert programreparasjon av feil som sikkerhetssårbarheter kan forbedres og gjøres gjeldende for et bredere spekter av feil. Vi fortsetter vår undersøkelse med å sammenligne teknikker for å bygge inn kildekode i formater som brukes av maskinlæringsteknikker og undersøkelsen av bruk av kunnskapsgrafer for sårbarhetsvurderinger.

Software has become a central part of nearly all sectors of economic activity, and our daily lives have become increasingly dependent on complex software-intensive systems, i.e., systems in which software interacts with other software, other systems, devices, sensors and with people. Exploitation of vulnerabilities in software can affect thousands or even millions of people and lead to massive damages. The secureIT project will help reduce software vulnerabilities by addressing the problem at its source: We will develop advanced methods and techniques that help software engineers predict the vulnerability of source code during development, well before it can be exploited. The overall goal of this project is to significantly reduce digital vulnerability of ICT by devising intelligent automated software security assessment technology that supports software engineers by systematically and continuously predicting the vulnerability of source code in the development stage. We reach this goal using three scientific break-throughs that will advance the state of the art in software security assessments: (1) Vulnerability Prediction based on Vulnerability Smells and Security Anti-Patterns (2) Anomaly-based Vulnerability Prediction (3) Improving Vulnerability Predictions using Historical Data Timeliness: The secureIT project builds on the PI's earlier achievements in automated software inspection, code smell detection, cross-language information flow analysis in heterogeneous systems, and frequent pattern mining and anomaly detection in high-volume data. Recent advances in machine learning together with the PI's new results on automatically learning patterns in high volume data and generalizing them using rule aggregation [27 in project description] make that now is the best time to start this research. Software vulnerability needs to be reduced, and the global state-of-the-art was not at the required level to start this ambitious research undertaking until just recently.