:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Lösbarer Konflikt – Safety und Security in der Softwareentwicklung
Sicherheit ist mehr als nur ein Wort: Safety und Security bei der Softwareentwicklung unter einen Hut zu bringen kann aufgrund unterschiedlicher Regelsätze eine Herausforderung darstellen. Aber sie kann gemeistert werden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/96200/96296/65.jpg "Linutronix_logo_4c.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Mit jeder neuen Entwicklung in der IT rückt die Welt ein Stück näher zusammen. Und je enger die Verknüpfung wird, desto anfälliger wird sie für Angriffe von außen. Das zeigt auch die jüngste Vergangenheit: Industrieunternehmen wurden durch Angriffe auf ihre IT-Infrastruktur in die Knie gezwungen und bisweilen sogar in ihren Grundfesten erschüttert. Unternehmen, die sich sicher – zu sicher – fühlten, wurden eines Besseren belehrt.
Das Englische (wie auch die Informatik) kennt zwei Begriffe für Sicherheit: Safety und Security. Im Deutschen wird die begriffliche Unterscheidung so nicht getroffen. Aus diesem Grund bleibe ich dort, wo es notwendig ist, bei den englischen Bezeichnungen. Lange Zeit lag der Schwerpunkt der Entwicklungsarbeit in Bezug auf Sicherheit bei der Safety der Anwendung. Die Security stand weniger im Fokus, obwohl beide – Safety und Security – unterschiedliche Regelsätze und Protokolle verwenden. Doch manches haben sie auch gemeinsam. Und genau unter diesem Aspekt ist es möglich, beim Erstellen von Code beides in einem ganzheitlichen Ansatz „unter einen Hut“ zu bringen.
Und das ist auch wichtig. Denn die Frage nach Safety und Security stellt sich in jeder Anwendung, besonders aber im sicherheitskritischen Bereich. So ist es mitunter schwer, eine formale Definition dessen zu finden, was sicher (safe) und sicher (secure) bedeuten soll, wenn es um Softwareentwicklung geht.
Es gibt zwar funktionale Sicherheitsstandards wie IEC61508 oder ISO26262. Aber wenn man anerkannte Coding-Standards der Industrie für hochintegrierte Systeme mit denen für sicherheitskritische Software vergleicht, wird einem schnell klar: es gibt viele Gemeinsamkeiten. Und vor allem eine große, gemeinsame Grundlage.
Wer setzt die Grenzen, wenn es um Safety- und Security-Features einer Programmiersprache wie C oder C++ geht? Es ist die Sprache selbst. Aus ihr gehen Styles und Vorgehensweisen hervor, die darauf abzielen, Safety und Security einer Applikation für einen oder mehrere Coding-Standards gleichermaßen zu erhalten.
Das Internet der (un)sicheren Dinge
Das Internet der Dinge (IoT) wird auch in den nächsten Jahren stetig und sehr stark wachsen. Zu verlockend sind die Versprechungen, die es mit sich bringt: Effizienz, Kostensenkung, bessere Zusammenarbeit über miteinander verbundene Endgeräte. Gleichzeitig wachsen aber auch die Bedenken. Denn jede Verbindung kann zum Einfallstor für unerwünschte Angriffe werden – und ist damit ein Sicherheitsrisiko.
In guter Erinnerung ist noch der Vorfall im Sommer 2015, als zwei Security-Experten Live demonstrierten, wie sie per Hack die Kontrolle über einen modernen SUV während der Fahrt übernahmen und beispielsweise dessen Motor abstellten. Eindrucksvoll wurde gezeigt, wie ein eigentlich technologisch fortschrittliches System wie ein modernes High-End-Fahrzeug Ziel einer solchen Attacke werden kann – mit möglicherweise fatalen Folgen. Wie steht es dann wohl um die Sicherheit der vielen Millionen einfachen Endgeräte, die mit wenig Geld entwickelt wurden und die den größten Teil des Internets der Dinge ausmachen?
Das Bewusstsein für die Bedrohung der Sicherheit ist also schon länger vorhanden Was aber über weite Strecken immer noch fehlt, ist die Integration der Security als wesentliches Element in die Softwareentwicklung und die Geschäftsprozesse. Die Bedeutung, die die Safety heute schon hat, muss auch die Security bekommen. Die Security-Schwachstellen zeigen ganz deutlich: es gibt keinen Grund zur Gelassenheit angesichts der Anzahl und des Niveaus der Risiken.
Prozess-Level
Es kostet viel Zeit und erheblichen Aufwand, Prozesse so zu implementieren, die Security und Safety gleichermaßen berücksichtigen. Der dafür notwendige Ansatz muss naturgemäß ganzheitlich sein. Deshalb kann er auch nicht auf einzelne Abteilungen oder Entwicklungsphasen beschränkt werden. Der SUV-Hack, zum Beispiel, hat Mängel und Schwachstellen auf vielen unterschiedlichen Ebenen offengelegt, nicht nur in der Architektur oder der Serviceberechtigung, sondern auch bei den Algorithmen für die Passwort-Generierung und vielen anderen Bereichen. Wer seine Produktentwicklung auf wirklich sichere Beine stellen will, muss auf allen Ebenen Verfahren integrieren, die Security und Safety gleichermaßen stärken
Was aber passiert, wenn man den Fokus nur auf die Softwareentwicklung legt? Oder besser: Welche Wahl hat ein Entwickler, wenn er eine sicherheitskritische Anwendung entwickeln soll, die gleichzeitig alle notwendigen Security-Anforderungen erfüllt? Gehen wir einmal davon aus, dass sowohl in der Anforderungs-, als auch in der Designphase alles dafür Notwendige bereits umgesetzt wird, sollten wir uns Gedanken darüber machen, wie wir das in effiziente, hochintegrierte Software übertragen, die alle Security-Anforderungen erfüllt.
Der sicherheitskritische Ansatz
Für die funktionale Sicherheit gibt es zwei Referenzstandards: IEC61508 und davon abgeleitete Standards; DO178B/C und Begleitdokumente wie DO330.
IEC61508 bezieht sich auf die funktionale Sicherheit von sicherheitsrelevanten Systemen im Bereich Elektrik, Elektronik oder programmierbarer Elektronik (EEPE). Da der Standard bei allen sicherheitsrelevanten Systemen mit EEPE-Endgeräten angewendet wird, ist sein Umfang ziemlich breit. Fast alle großen sicherheitsrelevanten Industriestandards, die nicht mit der Luft- und Raumfahrttechnik verbunden sind, wurden von IEC61508 abgeleitet.
DO178C und die dazugehörigen Begleitdokumente DO330, DO331, DO332 und DO333 bilden den Standard für Applikationen der Luft- und Raumfahrttechnik (Avionik). Wer auch immer ein FAA-Zertifikat für ein kommerzielles Avionik-Projekt haben möchte, muss diesen Standard erfüllen.
DO178C bezieht sich viel mehr auf die Software als IEC61508; der Grad der Software-Security (IDAL – item development assurance level) ist bestimmt durch eine Sicherheitsbewertung und Risikoanalyse. Es gibt fünf Grade: von A (katastrophal) bis E (kein Effekt).
Wenn es um sicherheitskritische Anwendungen geht, ist klar definiert, was unter „kritischem Code“ zu verstehen ist. Es gibt standardisierte Methoden, um ihn zu qualifizieren. Wie der Entwicklungsprozess gestaltet werden muss, darüber gibt es klare Anweisungen. Safety integrity levels (SIL) in IEC61508, Automotive SIL (ASIL) in ISO26262, Software SIL (SSIL) in EN50128 oder IDAL in DO178C sind Beispiele für das gleiche Konzept. Dabei spielen Quantität und Qualität gleichermaßen eine Rolle: Wie stark verringert sich das Risiko für eine Funktion entsprechend der Risiko-Analyse? Und welche Aktionen werden unternommen, um sicherzustellen, dass der Qualitätslevel erreicht wird?
Nahezu alle in der Industrie anerkannten funktionalen Sicherheitsstandards schreiben vor, dass bestimmte Design- und Coding-Standards – abhängig vom jeweiligen SIL – übernommen werden. Einer der wichtigsten ist MISRA – selbst in Bereichen, wo er nicht zwingend vorgeschrieben ist. ISO26262-6 bestätigt für die Programmiersprache C, dass MISRA C viele Methoden abdeckt, die für das Design von Software-Units und deren Implementierung gefordert werden. Und das seine Verbreitung in alle wesentlichen sicherheitskritischen Softwarebereiche reicht, zum Beispiel im Maschinenbau, in der Medizintechnik, in der Kernkraft oder im Schienenverkehr.
Ganz ähnlich ist es bei DO178B/C. Diese Standards fordern eine sorgfältige Definition und Dokumentation des Softwareentwicklungsprozesses. Das Basis-Set aus geforderter Dokumentation und während der Laufzeit erstellten Artefakte beinhaltet umfangreiche und detaillierte Planungen – und ein Coding-Standard gehört mit dazu.
Coding-Standards wie MISRA definieren eine Teilmenge der Zielsprache. Das verhindert – oder begrenzt zumindest – den Einsatz von Merkmalen oder Konstrukten, die zu undefiniertem oder unspezifischem Verhalten führen könnten. Praktiken wie das Dulden von Dead Code oder nicht erreichbarem Code werden generell nicht zugelassen, da sie Probleme verursachen bei der Rückverfolgung und Überprüfung.
Wer einen Coding-Standard bei Applikationen mit hoher Integrität einsetzt, erhält fast automatisch Funktionen mit vorhersagbarem Verhalten. Ein Beispiel: Bei MISRA C: 2012 werden Entwickler davon abgehalten, dynamische Speicher zu verwenden. Der Grund: wer dynamische Speicher verwalten will, öffnet damit das Tor zu undefiniertem Verhalten, wenn er Standard-Bibliotheken falsch verwendet. Ohne MISRA C: 2012 muss man einen sehr hohen Aufwand betreiben, um nicht vorhersagbare Ergebnisse zu vermeiden.
Security für Anwendungen
ISO/IEC27001: 2003 legt die Anforderungen fest, wie ein Managementsystem zur Informationssicherheit aufgestellt sein muss und wie es eingeführt, gewartet und kontinuierlich verbessert werden kann. Es basiert auf dem PDCA-Modell (plan, do, check, act) und kann mit allen wichtigen Managementstandards geteilt werden. Noch detaillierter in Bezug auf Anwendungs-Security ist ISO/IEC27034: 2011. Dieser Standard bietet auch Anleitungen, wie Kontrollen zur Informations-Security definiert und eingeführt werden können – und das eingebunden in die Prozesse des Entwicklungszyklus’ des Systems.
Je näher wir sicherheitsorientierten Coding-Standards kommen, desto vielfältiger wird das Angebot: es gibt Sicherheitsstandards für die Kodierung in C und C++, aber auch in Java, Perl, PL/SQL und andere.
Es gibt eine große Vielfalt an verfügbaren Techniken, um Code-Security zu bewerten. Statische Analysen, dynamische und Laufzeitauswertungen, Datenfluss- und Kontrollfluss-Tracking oder ausführbare und heuristische Analysen können genutzt werden, um unterschiedlichen Fragen nachzuspüren. Diese Techniken können effektiv und einfach implementiert werden – sofern sie von der gewählten Sprache, den eingebauten Anlagen, den Bibliotheken etc. unterstützt werden.
Der wichtigste Bezugspunkt für Security- Coding-Standards ist CERT. Das Computer Emergency Response Team veröffentlich seit vielen Jahren Coding-Standards, um die Sicherheit von Software zu stärken. Die CERT- Coding-Standards bieten einen direkten Link zu Schwachstellen aus der realen Welt, die von der Organisation Common Weaknesses Enumeration (CWE) entdeckt worden sind. Die Liste der Schwachstellen (im Download verfügbar) kann nach spezifischen Beziehungskontexten durchsucht werden.
Das CWE wiederum ist verbunden mit einer breiter angelegten Sammlung öffentlich bekannter Schwachstellen der IT-Sicherheit – bekannt als CVE (Common Vulnerabilities and Exposures) – die heute den Standard darstellt, wenn es um das Identifizieren von Schwachstellen geht. CVE-IDs (Identifier) bieten Bezugspunkte für den Datenaustausch von IT-Security-Produkte und -Services. Sie sind dann besonders sinnvoll, wenn es um die Analyse-Abdeckung und die Effizienz von Tools und Services hinsichtlich spezifischer Klassen von Schwachstellen geht. Über 73.000 CVEs enthält die National Vulnerability Database von NIST (National Institute of Standards and Technology). Im NIST werden die Daten des standardbasierten Schwachstellenmanagements der US-Regierung gespeichert.
MISRA und CERT im direkten Vergleich
MISRA C:2012 und CERT C sind die Safety- und Security-Champions für die Programmiersprache C. Im Folgenden sehen Sie eine Gegenüberstellung.
| |
| MISRA C:2012 |
| CERT C |
| Review | Eingeschränkt (Working Group) | Offen und öffentlich (Website) | ||
| Structure | 143 Regeln / 16 Directives Regeln sind Richtlinien, für die eine vollständige Beschreibung der Anforderungen angeboten wird. Im Gegensatz zu den Regeln bieten die Direktiven keine vollständige Beschreibung, so dass es nicht möglich ist, einen Compliance-Check durchzuführen. | 98 Regeln / 178 Empfehlungen Regeln müssen folgende drei Kriterien erfüllen: 1. Das Verletzen der Richtlinien führt wahrscheinlich zu einem Sicherheitsfehler 2. Es hängt nicht ab von Quellcode-Vermerken oder Annahmen zu Absichten der Programmierer 3. Übereinstimmung mit den Richtlinien kann über automatisierte Analysen, formale Methoden oder manuelle Inspektionen bestimmt werden Empfehlungen müssen zwei Kriterien erfüllen: 1. Ihre Anwendung verbessert wahrscheinlich Safety, Verlässlichkeit oder Security der Softwaresysteme. 2. Mindestens eine als Regel klassifizierte Anforderung kann nicht erfüllt werden. | ||
| Enforcement | Das Formulieren von Regeln ist auf Automatisierung ausgerichtet. Beispiel: Regel 8.14: "The restrict type qualifier shall not be used" | Das Formulieren von Regeln ist etwas allgemeiner gefasst. Beispiel: EXP43-C: "Avoid undefined behavior when using restrict-qualified pointers" | ||
| Organization | Ausgerichtet auf Sprachen und Entwicklungsumgebungen: “The Implementation”, “Compilation and build”, “Requirements traceability”, “Code design”, “A standard C environment”, “Unused code”, “Comments”, “Character sets and lexical conventions”, “Identifiers”, “Types”, “Literals and constants”, “Declarations and definitions”, “Initialization”, “The essential type model”, “Pointer type conversions”, “Expressions”, “Side effects”, “Control statement expressions”, “Control flow”, “Switch statement”, “Functions”, “Pointers and arrays”, “Overlapping storage”, “Preprocessing directives”, “Standard libraries” and “Resources”. | Ausgerichtet auf Low-Level-Elemente: “Preprocessor (PRE)”, “Declarations and initialization (DCL)”, “Expressions (EXP)”, “Integers (INT)”, “Floating Point (FLP)”, “Arrays (ARR)”, “Characters and strings (STR)”, “Memory management (MEM)”, “Input/Output (FIO)”, “Environment (ENV)”, “Signals (SIG)”, “Error handling (ERR)”, “Application Programming Interfaces (API)”, “Concurrency (CON)”, “Miscellaneous (MSC)”, “POSIX (POS)”, “Microsoft Windows (WIN)” | ||
| Severity classification | Locker verbunden mit der “Kategorie” der Regel: · Mandatory (Keine Abweichung erlaubt) · Required (Abweichungen erlaubt) · Advisory (kein formaler Abweichungsprozess erforderlich) | Konzept basiert auf Risikobeurteilung. Jede Richtlinie besitzt eine priority (Priorität) als Resultat aus severity, likelihood und remediation cost – Schwere des Vorfalls, Wahrscheinlichkeit und Behebungskosten (jede von ihnen bewertet auf einer Skala von 1 bis 3). Die Reichweite der Prioritäten legt einen von drei möglichen levels fest: L1 -> Priorities 12, 18, 27 (high severity) L2 -> Priorities 6, 8, 9 L3 -> Priorities 1, 2, 3, 4 (low severity) | ||
| Deviation procedure | Formalisiert: Anzeige erforderlich, von welcher Richtlinie abgewichen wurde, unter welchen Umständen die Abweichung erlaubt ist, eine Begründung für die Abweichung, eine Risikobeurteilung der Abweichung (aufzeigen, wie die Safety sichergestellt wird, ob zusätzliche Tests notwendig werden etc.) und es ist eine formelle Bestätigung nötig. Limitierung: Es kann nur von Advisory und Required Rules abgewichen werden. | Es gibt keine Beschreibung für einen formalen Managementprozess für Abweichungen, obwohl sie als eine Möglichkeit genannt werden “true-positives” ((XX)) | ||
Wie man sieht, gibt es deutliche Unterschiede zwischen den Coding-Standards CERT und MISRA. Aber es ist durchaus möglich, eine Strategie festzulegen, die es möglich macht, beide Standards in derselben Codebasis sinnvoll zu nutzen. Tools wie die von PRQA sind der effektivste Weg, eine solche Strategie in den Entwicklungsprozess zu implementieren. Diese Tools bilden die Basis für eine Tiefenanalyse des Software-Codes, um Fehler zu vermeiden, zu entdecken und zu beseitigen. Gleichzeitig erzwingen sie Kodierungsregeln, die die Software-Compliance sicherstellen. Und: Als Zusatznutzen sorgen sie für die bessere Wartbarkeit der Software – das senkt die Kosten für die Entwicklung auf breiter Front.
Zusammenfassend lässt sich sagen: Es kann eine große Herausforderung sein, sicherheitskritische Software zu entwickeln, die höchste Security-Ansprüche erfüllt. Safety und Security erfordern einen ganzen Katalog an Strategien, Prozessen, Tools und Fähigkeiten, die sich nicht überschneiden oder gar gegenseitig beeinträchtigen sollen. Automatisierte Analyse-Tools sind ein effektiver Weg innerhalb einer ganzheitlichen Betrachtung, Fehler im Code zu vermeiden – die sonst zu Sicherheitsproblemen und Security-Schwachstellen führen könnten.
* Richard Bellairs ist Product Marketing Manager bei PRQA.
(ID:44958291)
:quality(80)/p7i.vogel.de/wcms/ee/3e/ee3e6bd1548c02ee07ac5edd7725d5af/77955554.jpeg "Auf einem Embedded-Linux-System direkt lässt sich Software aufgrund der begrenzten Ressourcen nur schlecht debuggen. Das in Linux integrierte Tool GDB erlaubt, die Embedded Software über einen PC extern auf Fehler zu untersuchen. (Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/97/b8/97b86180c3b056c5558f1e89e4b6fa22/89860262.jpeg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (Bild: GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")