Ithaca, NY (USA) - 3. Februar 2020 - Während der International Working Conference zu Source Code Analysis & Manipulation (SCAM) wurde ein Forschungsbeitrag von GrammaTech mit dem "Distinguished Paper Award" des Institute of Electrical and Electronics Engineers (IEEE) Computer Society TCSE (Technical Council on Software Engineering) ausgezeichnet.

Die Veröffentlichung wurde nach mehreren Reviews und Abstimmungen durch die Komiteemitglieder ausgewählt. Das Dokument beschreibt ausführlich Bug Injector, ein System zur automatischen Erstellung von Benchmarks zur individuellen Evaluierung von Tools zur statischen Code-Analyse. Das Papier steht hier zum Download bereit: https://arxiv.org/pdf/1901.02819.pdf

Bug Injector fügt echten Programmen gezielt Fehler auf Basis eines Bug-Templates hinzu. Das Tool führt auf dem Host-Programm Tests aus, um dynamische Spuren zu erkennen. In dieses Spuren sucht es nach einem Punkt, an dem der Zustand zu den Vorgaben eines Bug-Templates passt. Hier modifiziert Bug Injector das Host-Programm, indem es anhand dieses Templates einen Fehler injiziert. Die injizierten Bugs dienen als Testfälle, um einen Benchmark zur Evaluierung eines Tools zur statischen Analyse zu erstellen. Bug Injector verbindet jeden eingefügten Fehler mit dem passenden Programm-Input, um den Bug auszuführen. Das Forscherteam von GrammaTech identifizierte zahlreiche Anforderungen und Desiderate für Fehler-Benchmarks. Daraus ergaben sich Test-Benchmarks "on demand", die diesen Anforderungen gerecht werden. Auch ermöglichte es dieser Ansatz, individuelle Benchmarks zu entwickeln, mit denen Tools für spezifische Einsatzszenarien - etwa eine vorgegebene Codebasis oder Fehlerklasse - evaluiert werden können. Die Eignung der erzeugten Benchmarks für die Evaluierung statischer Bug-Detection-Tools und zum Vergleich unterschiedlicher Werkzeuge konnte experimentell gezeigt werden.

Laut der SCAM Website (http://www.ieee-scam.org/2019/#home) ist es das Ziel der International Working Conference, Forscher und Praktiker zusammenzubringen, um theoretische Grundlagen, Techniken und Anwendungen im Bereich der Analyse und/oder Manipulation von Quell-Code auf Computersystemen weiter zu entwickeln. Denn obwohl sich das Gros der Software-Entwickler-Community anderen Aspekten der Systementwicklung und -evolution zuwendet, ist der Source-Code die einzige exakte Beschreibung des Verhaltens eines Systems. Die Analyse und Manipulation dieses Source-Codes bleibt nach wie vor ein wichtiges Gebiet.

Weitere Details zu Bug-Injector finden Sie im GrammaTech-Blog (https://blogs.grammatech.com/grammatech-wins-ieee-scam-2019-distinguished-paper-award-for-bug-injector-research)

GrammaTech auf der Embedded World 2020 vom 25. bis 27. Februar 2020 in Nürnberg: Halle 4, Stand 4-423

Bug-Injector research was sponsored by the Defense Advanced Research Projects Agency (DARPA) under Contract No. D17PC00096 and the Department of Homeland Security (DHS) Science and Technology Directorate, Cyber Security Division (DHS S&T/CSD) via contract number HHSP233201600062C. The views, opinions, findings, and conclusions or recommendations contained herein are those of the authors and should not be interpreted as necessarily representing the official views policies or endorsements, either expressed or implied, of DARPA or DHS.

About GrammaTech:

GrammaTech's advanced static analysis tools are used by software developers worldwide, spanning a myriad of embedded software industries including avionics, government, medical, military, industrial control, and other applications where reliability and security are paramount. Originally developed within Cornell University, GrammaTech is now a leading research center for software security and a commercial vendor of software-assurance tools and advanced cyber-security solutions. With both static and dynamic analysis tools that analyze source code as well as binary executables, GrammaTech continues to advance the science of superior software analysis, providing technology for developers to produce safer software. For more information, visit www.grammatech.com or follow us on LinkedIn: https://www.linkedin.com/company/grammatech

