ANR 11 ASTR 002

OSeP

Test de sécurité à la volée et hors ligne dirigé par les modèles

Le programme scientifique du projet OSeP est structuré autour de trois thèmes:

  1. La génération de tests hors ligne, pilotée par les modèles et les objectifs de tests de sécurité (sous-projets 1 et 2 – SP1 & SP2) ;
  2. La génération de test de sécurité à la volée avec pilotage par les risques (sous-projet 3 – SP3) ;
  3. Les expérimentations dans le domaine des composants de sécurité et de la radio logicielle (sous-projet 4 – SP4).

Structuration du projet

La structure du projet est la suivante :

  • SP1 – Génération de tests de sécurité hors ligne à partir de modèles et de schémas de test
    • A1.1 – Propriétés de sécurité – typologie et pattern réutilisables
    • A1.2 – Langage de schémas de test
    • A1.3 – Modélisation comportementale pour la génération de tests de sécurité
    • A1.4 – Guide d’écriture des schémas
  • SP2 – Optimisation des stratégies de génération de tests à partir de schémas et pilotage par les risques
    • A2.1 – Étude des stratégies et heuristiques de dépliage des schémas, et maitrise de la combinatoire
    • A2.2 – Optimisation du moteur de génération de tests pour la génération de tests à partir de schémas
  • SP3 – Génération de tests de sécurité à la volée
    • A3.1 – Stratégies de parcours du modèle pour le test de sécurité
    • A3.2 – Intégration de la génération et de l’exécution
    • A3.3 – Réduction des traces de tests
    • A3.4 – Complémentarité entre les approches enligne et hors ligne
  • SP4 – Applications à la Radio Logicielle et aux Composants de sécurité
    • A4.1 – Expérimentations sur composants de sécurité
    • A4.2 – Expérimentations Radio Logicielle
    • A4.3 – Méthodologie du test de sécurité à la volée et hors ligne dirigé par les modèles
  • SP0 – Coordination du projet, dissémination et valorisation
    • A0.1 – Gestion de projet
    • A0.2 – Dissémination et valorisation

Références bibliographiques

[Basta 07] Alfred Basta and Wolf Halton. Computer Security and Penetration Testing. Delmar Cengage Learning; 1st edition (August 31, 2007). ISBN: 1418048267.
[Bordeleau 09] Francis Bordeleau, Toby McClean. A Model Driven Testing Framework for SCA Application. White-paper Zeligsoft - 2009.
[Chess 07] Brian Chess and Jacob West. Secure programming using static analysis. 2007, Addison Wesley.
[Darmaillacq 06] V. Darmaillacq, J.-C. Fernandez, R. Groz, L. Mounier, and J.-L. Richier. Test generation for network security rules. TestCom, pages 341–356, 2006.
[Jääskeläinen 09] Antti Jääskeläinen, Mika Katara, Antti Kervinen, Mika Maunumaa, Tuula Pääkkönen, Tommi Takala, Heikki Virtanen. Automatic GUI test generation for smartphone applications - an evaluation. ICSE Companion 2009: 112-122
[Jürjens 08] J Jürjens. Model-based security testing using umlsec. Electronic Notes in Theoretical Computer Science (ENTCS), 220(1):93–104, December 2008.
[Frantzen 09] L. Frantzen, M. N. Huerta, Z. G. Kiss, and T. Wallet. On-The-Fly Model-Based Testing of Web Services with Jambition. R. Bruni and K. Wolf, editors, 5th International Workshop on Web Services and Formal Methods - WS-FM 2008, number 5387 in Lecture Notes in Computer Science, pages 143-157. Springer, 2009.
[Li 07] Keqin Li, Laurent Mounier, Roland Groz. Test Generation from Security Policies Specified in Or-BAC. Computer Software and Applications Conference, Annual International, pp. 255-260, 2007 31st Annual International Computer Software and Applications Conference, 2007.
[Lufeng 09] Zhang Lufeng, Tang Hong, Cui YiMing, Zhang JianBo. Network Security Evaluation through Attack Graph Generation. World Academy of Science, Engineering and Technology 54 2009.
[Masson 10] Pierre-Alain Masson, Marie-Laure Potet, Jacques Julliand, Régis Tissot, Georges Debois, Bruno Legeard, Boutheina Chetali, Fabrice Bouquet, Eddie Jaffuel, Lionel Van Aertrick, June Andronick, and Amal Haddad. An Access Control Model Based Testing Approach for Smart Card Applications: Results of the POSÉ Project. Journal of Information Assurance and Security, 5(1):335--351, 2010.
[Tain-Yang 10] Gu Tian-yang, Shi Yin-sheng, and Fang You-yuan. Research on Software Security Testing. World Academy of Science, Engineering and Technology journal, Issue 69, 2010, pp. 647 – 651.
[Takanen 08] Ari Takanen, Jared DeMott and Charlie Miller. Fuzzing for Software Security Testing and Quality Assurance. Artech House Publishers; 1 edition (June 30, 2008). ISBN: 1596932147.
[Utting 06] Mark Utting, Bruno Legeard. Practical Model-Based Testing – A tools approach. Morgan & Kaufmann, December 2006.
[Wysopal 2006] Chris Wysopal, Lucas Nelson, Dino Dai Zovi and Elfriede Dustin. The Art of Software Security Testing: Identifying Software Security Flaws. Addison-Wesley Professional; 1 edition (November 27, 2006). ISBN-10: 0321304861.