Veilige softwareontwikkeling

Computerbeveiliging is een wapenwedloop. Alleen al in 2019 werden 12.174 kwetsbaarheden geregistreerd in de Common Vulnerabilities and Exposure (CVE) -database. In de afgelopen vijf jaar is het aantal ontdekte kwetsbaarheden sterk gestegen ten opzichte van het voorgaande decennium. Gezien het uitgangspunt dat de softwarekwetsbaarheid voortkomt uit het ontwikkelingsproces, moeten we de menselijke factor van de softwareontwikkelaars meenemen in de dreigingsmodellering voor softwareontwikkeling. Softwareontwikkelaars dragen een aanzienlijk risico bij het introduceren van een softwarefout. De keuze van de technologie kan ook verband houden met het inherente risico, zoals programmeertaal met handmatig geheugenbeheer kan kwetsbaarder zijn voor een subtiele geheugenfout dan een taal met automatisch geheugenbeheer. Dit proefschrift heeft tot doel de softwarebeveiliging te verbeteren door rekening te houden met het menselijke aspect van softwareontwikkelaars. In het digitaliseringstijdperk zullen we de penetratie van digitale technologie, met name embedded systemen en Internet-of-Things (IoT), zien in de veiligheidskritieke gebieden dicht bij het dagelijkse menselijke leven. Toepassingen zoals geautomatiseerd transport en persoonlijke gezondheidsapparatuur vereisen veel aandacht om de veiligheid en privacy van de gebruikers te beschermen. Daarom is een belangrijk aandachtspunt van dit proefschrift om veilige softwareontwikkeling toegankelijker te maken voor elke softwareontwikkelaar, wat uiteindelijk de softwarebeveiliging verbetert. We kunnen nieuwe technologieën gebruiken, zoals Intel SGX-enclave-technologie, om veilige middleware te ontwikkelen. Het werk in dit proefschrift zal aan deze doelen voldoen door compilerdiensten te verbeteren die op transparante wijze low-level code kunnen instrumenteren met extra bescherming tegen mogelijke exploits.