:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
28.07.2023
Gute Software ist billiger als schlechte Software - Programmierstandards für größere SW-Sicherheit
Die Entwicklung von hochwertiger Software schafft keine Mehrkosten, sondern die Kosten sind höher, wenn man Software unzureichender Qualität entwickelt. Der Forscher Capers Jones hat nachgewiesen, dass die die typischen Kosten für Software mit jeder Phase ansteigen – vom Erstellen des Pflichtenhefts über das Programmieren bis zur Wartung. Die Herangehensweise der Teams an Qualität bestimmt, ob ihr Prozess gesund oder ‚pathologisch‘ ist.
Die Kosten mangelnder Qualität
Findet man Fehler sofort beim Schreiben des Codes, sind die Kosten relativ niedrig – beispielsweise nur ein paar Minuten Zeit des Entwicklers. Lassen sich 85% aller Defekte schon in der Entwicklungsphase beseitigen, wirkt sich dies markant auf die Kosten aus.
Laut Untersuchungen bei echten Unternehmen mit realer Software (anstelle theoretischer Modelle) kostet das Beheben von Fehlern nach der Freigabe rund 16.000 US-$ (u.U. deutlich mehr). Erfolgen die Qualitäts- und Security-Maßnahmen in einer späten Phase, sind die hier aufgedeckten Security-Probleme dem teuren Ende des Zyklus zuzurechnen. Der Aufwand dürfte etwa 15-mal so hoch sein wie beim Auffinden in frühzeitigen Security-Audits. Es ist ein nachweislich falscher Ansatz, die Software-Qualität durch Tests am Ende des Entwicklungszyklus und damit unmittelbar vor der Freigabe zu verbessern. Bei der Produktion von Waren ist klar, dass diese Methode nicht funktioniert – warum aber hält sich die fixe Idee, bei Software könnte man Qualität und Sicherheit ‚hineintesten‘?
Basierend auf den folgenden gängigen Merkmalen möchte ich behaupten, dass nahezu niemand ingenieurmäßig an die Software-Entwicklung herangeht:
· Was die meisten Entwickler tun, ist nicht reproduzierbar. Stellt man zwei Entwicklern dieselbe Aufgabe, werden sich die Ergebnisse unterscheiden.
· Es fehlt an gut ausgearbeiteten ‚Best Practices‘. Software-Entwickler betrachten Programmierstandards als ein Regelwerk, auf dessen Einhaltung die Teamleitung besteht, und verkennen dabei, dass sie Wissen, Praxis und Erfahrung verkörpern. Während einem Elektroingenieur klar ist, dass Standards eine Möglichkeit sind, ein auf Anhieb sicheres Produkt zu bauen, sieht ein Softwareentwickler dagegen in einem Standard eine Restriktion, die ihn hemmt – ein ‚False Positive‘ also.
· Fremde und uneinheitliche Entwickler-Schulung. Die Ausbildung im Bereich der Software-Entwicklung erfolgt nicht so standardisiert wie bei den Ingenieurwissenschaften. Oft liegt der Fokus auf Programmiersprachen anstelle von Standards und etablierten Praktiken.
Mehr Safety und Security
Codingstandards zielen darauf ab, bewährte Programmierpraktiken zu etablieren, um funktional sicheren, zuverlässigen, prüfbaren und wartbaren Code zu schreiben. In der Regel bedeutet das, bekanntermaßen unsichere Programmierpraktiken ebenso zu vermeiden wie Code, der zu unvorhersehbarem Verhalten führen kann.
Es scheint jedoch, dass die Industrie mit diesen Programmierstandards das Ziel ein wenig aus den Augen verloren hat. So gibt es bei den Tools (z.B. statischen Analysetools) seit den vergangenen zehn Jahren eine Verlagerung: Anstelle der Aufdeckung von potenziell problematischem, unsicherem Code oder bekannten Sprach-Schwachstellen wird nach Fehlern gesucht, gleichsam als eine Art frühzeitigem Test (auch bekannt als ‚shift left‘ – also Linksverschiebung auf der Zeitachse).
Unbestritten ist die Fehlersuche wichtig. Aber ist es nicht produktiver, von Anfang an solide Software zu schreiben? Man sollte Standards ausarbeiten und durchsetzen, um das Entstehen von Defekten von vornherein zu vermeiden – und auf der Zeitachse in eine frühere Phase zu rücken.
Industriestandards
Industriestandards für Safety und Security wie MISRA C/C++, SEI/SANS CERT, OWASP Top 10 und CWE - Common Weakness Enumeration Top 25 sind ein enormer Arbeitsaufwand. Obwohl ihr Einsatzgebiet je nach Typ eingeschränkt ist, finden sie Anwendung in vielen Branchen, wie beispielsweise MISRA C: Dieser in 1998 ins Leben gerufene Standard ist sehr gut definiert und wird jeweils nach einigen Jahren aktualisiert. Mit der Weiterentwicklung der Sprachen C und C++ werden auch die dazugehörenden Standards weiterentwickelt. Der überaus flexible Standard berücksichtigt verschiedene Schweregrade (severity levels), und es gibt eine dokumentierte Strategie zum Behandeln und Dokumentieren von Abweichungen. Da sich die Technologie (z.B. die statische Analyse) zum Erkennen von Verletzungen der von Codierstandards aufgestellten Richtlinien weiterentwickelt, wird bei den neuesten MISRA-Versionen berücksichtigt, welche Richtlinien entscheidbar (also von Tools mit hoher Genauigkeit detektierbar) sind und welche nicht.
Die Rolle der statischen Analyse
Die Hauptursache mangelhafter Softwarequalität ist die unzureichende Fehlerbeseitigung – das belegen Studien. Programmierer erreichen beim Aufdecken von Defekten in ihrer eigenen Software eine Effizienz von etwa 35%. Im späteren Verlauf des Entwicklungszyklus liegt die Zahl der Mängel, von denen man hoffen kann, dass sie nach all den Designprüfungen, Peer-Reviews, Unit-Tests und Funktionstests beseitigt werden, bei etwa 75%. Bei ordnungsgemäßem und präventivem Einsatz kann die statische Analyse die Quote der eliminierten Defekte auf 85% steigern. Die meisten Unternehmen legen den Fokus beim Einsatz der statischen Analyse auf das Auffinden und zügige Beseitigen von Fehlern. Aber sie hätten zusätzliche Vorteile, wenn sie statische Analysetools nutzten, um bekannte mangelhafte Programmierpraktiken und Sprach-Features von vornherein zu vermeiden. Hier kommen jene Codierstandards ins Spiel, die mit Richtlinien und Sprach-Teilmengen unterbinden, dass gängige Defekte wie etwa Pufferüberläufe oder fehlende Initialisierungen überhaupt erst in den Code hineingeschrieben werden.
Vorbeugen ist besser …
Angenommen, in einem Test wird ein komplexer Pufferüberlauf-Fehler entdeckt, z.B. mit einem Dynamic Application Security Tool (DAST). Nach Auffinden und Debuggen muss ein erneuter Test folgen. Die statische Analyse mit Flow-Analyse hätte diesen Fehler vielleicht auch gefunden, je nach Komplexität der Applikation. Die Laufzeit-Fehlerdetektierung ist zwar präzise, prüft aber nur die tatsächlich ausgeführten Codezeilen. Also kann sie nur so gut sein wie die Testabdeckung. Besser wäre es, wenn ein Programmierstandard die Verwendung des Codes, der zu diesem Fehler führt, von vornherein unterbunden hätte.
Codierstandards wie MISRA C beschreiben nicht, wie man z.B. nicht initialisierten Speicher aufdecken kann, sondern leiten die Programmierer an, ihren Code so zu schreiben, dass ein solcher Fehler gar nicht erst vorkommt. Das ist eine deutlich ‚ingenieurmäßigere‘ Vorgehensweise: Programmieren nach bekannten und akzeptierten Standards, ganz so, wie man es im Bauwesen macht, etwa bei der Brückenkonstruktion. Hier würde man schließlich auch nicht zunächst die Brücke bauen und dann immer schwerere Lastwagen darüberfahren lassen, das Gewicht des letzten heil darübergefahrenen Lkw messen und die Brücke dann neu bauen, damit sie dieses neue Gewicht verkraftet. Welch unsinniges Vorgehen! Trotzdem erfolgt die Entwicklung von Software nicht viel anders.
Wendet ein Softwareteam einen Codierstandard an und nutzt die statische Analyse richtig, kann es Fehler frühzeitig erkennen und vermeiden – das ist sehr gut. Besser ist es aber, die Art und Weise zu verändern, wie das Team den Code schreibt. Ein gutes Beispiel ist die Heartbleed-Schwachstelle. Es gibt inzwischen Detektoren für genau diese Sicherheitslücke, aber man hätte auch den Code so schreiben können, dass Heartbleed niemals aufgetreten wäre. Programmierstandards verkörpern solide technische Prinzipien für das Programmieren in den jeweiligen Sprachen und bilden die Grundlage für ein vorbeugendes Konzept..
Autor: Arthur Hicken, Evangelist bei Parasoft
Arthur Hicken ist seit mehr als 25 Jahren bei Parasoft in den Bereichen Software-Security und Testautomatisierung tätig und half bei der Erforschung neuer Methoden und Techniken (darunter fünf Patente). Gleichzeitig unterstützt er die Kunden bei der Verbesserung ihrer Softwarepraktiken.
