Vérification automatique pour l'exécution sécurisée de composants Java

Pierre Parrend 1 Stéphane Frénot 1, *
* Auteur correspondant
1 AMAZONES - Ambient Middleware Architectures: Service-Oriented, Networked, Efficient and Secured
Inria Grenoble - Rhône-Alpes, CITI - CITI Centre of Innovation in Telecommunications and Integration of services
Résumé : Les plates-formes dynamiques de services permettent d'exécuter simultanément plusieurs composants fournis par des tiers. Ceci apporte une grande flexibilité dans leur utilisation, aussi bien en environnements à ressources limitées que dans le cas de serveurs d'applications. Toutefois, les implications pour la sécurité du système sont encore mal connues: quels sont les risques posés par l'exécution de composants tiers pour la plate-forme d'execution ? pour les autres composants ? Comment y remédier ? A partir d'expérimentations réalisées sur la plate-forme Java/OSGi, nous proposons une classification des vulnérabilités des platesformes dynamiques de services. Deux cas sont considérés: les vulnérabilités de la plate-forme elle-même, et les vulnérabilités des composants. Plusieurs solutions sont proposées pour résoudre ces vulnérabilités. Premièrement, le Contrôle d'accès basé Composants (CBAC, pour Component-based Access Control) permet de limiter l'accès à des méthodes dangereuses de la plate-forme ou des composants. La validation est effectuée par analyse statique de code. La configuration est entièrement déclarative, ce qui rend cette approche extensible, et adaptée pour la protection de méthodes fournies par des composants tiers. Deuxièmement, l'Analyse de Composants faibles (WCA, pour Weak Component Analysis) permet d'identifier les vulnérabilités des composants, par analyse statique de code également. CBAC et WCA exploitent la phase d'installation des composants pour réaliser les vérifications nécessaires. Seuls les composants valides sont installés. WCA peut également être utilisé lors du dévelopement pour améliorer la qualité du code.
Type de document :
Article dans une revue
Revue des Sciences et Technologies de l'Information - Série L'Objet : logiciel, bases de données, réseaux, Hermès-Lavoisier, 2008, Composants, services et aspects, 14 (4), pp.103-127. 〈10.3166/obj.14.4.103-127〉
Liste complète des métadonnées

Littérature citée [18 références]  Voir  Masquer  Télécharger

https://hal.inria.fr/inria-00389211
Contributeur : Stéphane Frénot <>
Soumis le : jeudi 28 mai 2009 - 13:11:12
Dernière modification le : mercredi 11 avril 2018 - 01:57:44
Document(s) archivé(s) le : jeudi 10 juin 2010 - 23:58:05

Fichier

parrend08lobject.pdf
Fichiers produits par l'(les) auteur(s)

Identifiants

Collections

Citation

Pierre Parrend, Stéphane Frénot. Vérification automatique pour l'exécution sécurisée de composants Java. Revue des Sciences et Technologies de l'Information - Série L'Objet : logiciel, bases de données, réseaux, Hermès-Lavoisier, 2008, Composants, services et aspects, 14 (4), pp.103-127. 〈10.3166/obj.14.4.103-127〉. 〈inria-00389211〉

Partager

Métriques

Consultations de la notice

456

Téléchargements de fichiers

134