InjectionCop : a pluggable type checker for inferencing custom type qualifiers

Abstract

Die Relevanz von Security auf dem Gebiet der Software Entwicklung kann nicht genug hervorgehoben werden. Bereits bekannte Sicherheitslücken, wie zum Beispiel Injections, sind immer noch weit verbreitet. InjectionCop ist ein Framework um Security-relevante Anforderungen, die nicht nicht einem spezifischem Modul, sondern über das ganze System verteilt sind, zu behandeln. Um das zu bewerkstelligen, wird das Typsystem von C# um das Konzept des Custom Type Qualifiers erweitert. Type Qualifier können genutzt werden, um die Ausdrucksstärke von Quellcode zu verstärken und ausführbare Security-Anforderungen zu definieren. Anfoderungen, die nicht erfüllt werden, entsprechen Sicherheitslücken und werden über statische Code Analyse ermittelt. InjectionCop zielt darauf ab, den Entwicklungsprozess zu unterstützen und zu verbessern, indem das Risiko reduziert wird, einen Programmierfehler zu begehen der die Sicherheit des Systems beeinflusst.

The importance of security in the field of software development cannot be emphasized enough. Already known vulnerabilities like all kinds of injections are still very common. InjectionCop is a framework that helps to address cross cutting security concerns by adding custom type qualifiers to the type system of C#. Type qualifiers can be used to boost the expressiveness of the source code and define security requirements that are executable. Furthermore, requirements that are not met indicate vulnerabilities and are detected by static analysis of the assembly. InjectionCop is targeted to support and improve the development process by reducing the risk to introduce programming errors that affect security.