Studentenvorträge zu Projekt- und Abschlussarbeiten:

-------------------------------------------------------

Christian Lacek: In-depth comparison and integration of tools for testing security features of web applications

Bachelorarbeit - betreut von Marianne Busch

In recent years the World Wide Web has become the most common medium for application development. Besides a vast quantity of advantages, the internet also bears a huge number of risks, as it is also the platform, that web intruders use to get unauthorized access to web applications, which are not protected properly. Many developers are not aware of these existing risks. As a result web applications go online without eliminating potential weaknesses before. To detect such weaknesses, web security specialists develop tools, which are able to scan web applications for vulnerabilities. The primary purpose of this bachelor thesis is to compare a selection of these vulnerability scanners. To start with, the most common vulnerabilities are demonstrated by an example web application, which intentionally includes a large number of vulnerabilities. Subsequently some requirements are dened, to determine which tools are suitable for the comparison. To get a practical insight into the functionality of the tools, they are tested on a virtual machine, which contains a big amount of vulnerabilities, among others the ones of the above mentioned web application. The core of this thesis consists of two points: The comparison of the tools on the basis of previously dened comparison criteria and the integration of the tools into a common user interface, which serves as tool workbench.

 

Patrick Lindemann: Visualizing the Execution of Long-Running Activiti BPMN 2.0 Business Process Instances

Masterarbeit  - betreut von Prof. Martin Wirsing und Hermann Baureis von der 1&1 Internet AG

Zur Steigerung der Kundenzufriedenheit und zur kontinuierlichen Verbesserung von Abläufen startete die 1&1 Internet AG vor 2 Jahren die Business Process Management Initiative. Im Rahmen des BPM@1und1 Projekts wurden u.a. Anwendungen zum Administrieren und Monitoren von Geschäftsprozessen entwickelt. Diese unterstützen bei der Prozessanalyse/-optimierung und ermöglichen es, Schwachstellen pro-aktiv zu verbessern.

Die Schwerpunkte dieser Arbeit liegen in der Analyse, Verbesserung und Erweiterung der bestehenden Monitoring- und Administrations-Features. Der Einarbeitung in die Themen BPM@1und1, BPMN 2.0 und Activiti Process Engine folgt die Evaluierung der am Markt und bei der 1&1 Internet AG existierenden Business Process Operation Tools. Fachliche Anforderungen können in Abstimmungen mit Software Entwicklern und Operation Managern zusammen getragen und um eigene Verbesserungsvorschläge ergänzt werden. Die Ergebnisse werden aufbereitet und mit den Stakeholdern abgestimmt. Der vorbereitenden Konzeption folgt die Implementierung einer Software zur Anzeige von in der Activiti Process Engine ausgeführten Prozessinstanzen. Die durchgeführten Unit- und Integrationstests sichern die prototypische Qualität der Software.

 

Marcel Léon von Maltitz: Design and Implementation of Quality Gates in Enterprise Application Infrastructure Environments

Masterarbeit - betreut von Prof. Martin Wirsing und der 1&1 Internet AG

In dieser Arbeit wird ein Ansatz zur Verbesserung eines Softwareentwicklungsprozesses präsentiert. Exemplarisch wurde der Softwareentwicklungsprozess in der 1&1 Mail & Media GmbH vorgestellt und hinsichtlich seiner Schwächen und seines Verbesserungspotentials analysiert. Es ergab sich, dass zwei Hauptprobleme im Releaseprozess zu verorten sind: Sein Ablauf erfordert eine Vielzahl manueller und damit fehleranfälliger Schritte; für ihre Ausführung ist meist implizites Wissen aufseiten der Entwickler notwendig.  Zusätzlich hierzu sind abwechselnd die drei verschiedene Parteien Entwicklung, Qualitätssicherung und Systemadministration in den Prozess involviert. Durch den hohen Interaktionsgrad und die Verteilung der Aufgaben entstehen Wartezeiten und somit Verzögerungen.

Als Lösung wird ein System in Form von automatisch ausführbaren Quality Gates vorgeschlagen. Mit ihrer Hilfe lassen sich Qualitätsanforderungen an das Softwareprodukt eindeutig spezifizieren und pro Release automatisch und damit ohne weiteren Aufwand überprüfen. Dies verringert die zur Qualitätssicherung notwendigen Interaktionen und reduziert damit auch die hierbei entstehenden Wartezeiten. Ergebnis ist eine effizientere Durchführung der qualitätssichernden Maßnahmen.

Die Quality Gates werden durch Action Gates ergänzt. Diese übernehmen die Durchführung der vormals manuellen, repetitiven Aufgaben im Releaseprozess. Hierdurch werden Interaktionen, welche für die Installation des Releases notwendig waren, eliminiert. Dies geht auch hier nochmals mit der deutlichen Verringerung von Wartezeiten einher. Zusätzlich wird dem Entwickler der Aufwand der ursprünglich manuellen Schritte abgenommen, sodass seine Kapazitäten vermehrt für wertschöpfende Tätigkeiten genutzt werden können.

Schritte, welche nicht automatisiert werden können, werden in Form von Manual Gates repräsentiert. Bei solchen Gates unterbricht das System die Ausführung und wartet auf die Freigabe des Manual Gate durch einen Mitarbeiter. Danach wird die automatische Durchführung fortgesetzt.

Zusammengefasst unterstützt das System damit die effizientere Softwareentwicklung und die Erfüllung höherer Qualitätsmaßstäbe.