Sicherheit ist mehr als nur ein Wort: Safety und Security bei der Softwareentwicklung unter einen Hut zu bringen kann aufgrund unterschiedlicher Regelsätze eine Herausforderung darstellen. Aber sie kann gemeistert werden.
Wie kommt man zu einer sicheren, agilen Entwicklungs-Pipeline? Wir stellen fünf Schritte vor, die beim Entwerfen einer DevOps-Strategie für ein kritisches Softwareprojekt zu berücksichtigen sind.
Die Datenschutzskandale bei Facebook oder Yahoo, aber auch die Datensammelwut von Netzriesen wie Amazon, Google & Co verunsichern Anwender zunehmend. Ein Patent der Forensik.IT verspricht nun eine einfache Lösung, die mit Hilfe „virtueller Profile“ Nutzer vor Datenkraken schützen soll.
Softwaretests sind Pflicht – vor allem, wenn es um Programmierstandards und Zertifikate geht. Entwickler schrecken daher oft vor nachträglichen Änderungen in bereits zertifizierter Software zurück. Eine Automatisierte Code Change Analyse, welche alle testrelevanten Änderungen selbsttätig ermittelt, hilft hier weiter.
QA Systems, Spezialist für Softwaretest, ist Gastgeber der DConf Anfang Mai in München. Dort sprechen hochkarätige Referenten über die Stärken und Möglichkeiten der Programmiersprache D.
Bei Softwareentwicklung sollte Security von Anfang an fester Bestandteil sein. Etablierte Coding-Standards können diesen Prozess vereinfachen. Aber welcher Standard ist für welche Ansprüche der Beste?
Mit der zunehmenden Vernetzung und Automatisierung unserer Fahrzeuge steigt auch der Bedarf an IT-Sicherheit. Warum die Standardisierung von Sicherheitsaspekten elementar ist, was die Gesetzgebung leisten muss und welche Entwicklungsansätze aktuell verfolgt werden, erläutert Dr. Frank van den Beuken.
PRQA kündigt das erste kommerziell erhältliche Tool zur automatischen Anwendung der neuen AUTOSAR-C++14-Kodierungsstandards an. Das AUTOSAR-Compliance-Modul ist eine Erweiterung des automatisierten statischen Codeanalysetools, QA·C++ 4.2.
Ob Industrie, Automotive, Bahntechnik, Atomindustrie oder Medizintechnik: Das Unit- und Integrationstesttool für C und C ++ Cantata ist jetzt auch mit der neuesten Version 7.2 für die Entwicklung sicherheitsrelevanter Software zertifiziert.
Der britische Codeanalyse-Spezialist PRQA hat in der Version 3.2 des Prüfwerkzeugs QA C++ eine breitere Abdeckung des Standards C++'11 implementiert. Außerdem lassen sich Best Practices für die sichere Codegestaltung leichter als bisher umsetzen.
:quality(80)/images.vogel.de/vogelonline/bdb/1752000/1752027/original.jpg "Selbst wenn die gewohnte räumliche Nähe fehlt: Auch in digitaler Form präsentiert der ESE Kongress 2020 die ideale Plattform, um sich über moderne Methoden des Software-Engineering und den Stand der Technik zu informieren sowie Herausforderungen und Perspektiven zu diskutieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1734100/1734127/original.jpg "Gewusst wie: Motion-Controller wie der TMC4671 und Gate-Treiber sowie die schnelle Firmware-Entwicklung mit der API nebst Firmware-Beispielen sind Seminarinhalte am 1.10.2020 im VCC Würzburg.")
:quality(80)/images.vogel.de/vogelonline/bdb/1519600/1519632/original.jpg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler.")
:quality(80)/images.vogel.de/vogelonline/bdb/1715400/1715459/original.jpg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1750500/1750545/original.jpg "In Softwareprojekten entsteht zwangsläufig Architektur, auch in agil aufgestellten Projekten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1729100/1729129/original.jpg "Da die Anforderungen an Produktqualität, Maschineneffizienz sowie an flexible Produktionslösungen stetig steigen, ist es notwendig, Maschinensoftware effizienter zu entwickeln und zu testen. Alternative Entwürfe können mittels Simulation schnell und einfach durchgespielt und im Anschluss als wiederverwendbare Softwarebausteine automatisch auf eine Industriesteuerung übertragen werden. Hilfreich sind hierbei eine modellbasierte Entwicklung und darauf basierend die automatische Generierung von Steuerungscode.")
:quality(80)/images.vogel.de/vogelonline/bdb/1679600/1679602/original.jpg "Piloten beim Training in Flugsimulator. In der Avionik sind Systeme, die Abstand und Beschaffenheut des Untergrundes überwachen, unverzichtbar. Diese Systeme müssen höchsten Anforderungen Cybersicherheit und möglichst niedrige Latenzzeiten besitzen. Multicore-Architekturen versprechen zudem, solche Systeme kostengünstig und platzsparend zu halten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1650200/1650266/original.jpg "Bild 6: Security-Angriffsvektoren verändern sich.")
:quality(80)/images.vogel.de/vogelonline/bdb/1734300/1734384/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1721500/1721592/original.jpg "Bild 1: Ein generischer Multicore-Prozessor muss hohen Aufwand für die Speicherverwaltung betreiben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1705600/1705629/original.jpg "Schema der PikeOS 5.0-Architektur.")
:quality(80)/images.vogel.de/vogelonline/bdb/1701800/1701864/original.jpg "Struktur des Echtzeit-Betriebssystems RTEMS: Vor 25 Jahren wurde die erste volle Version des unter Open-Source-Lizenz verbreiteten RTOS erstmals zur Verfügung gestellt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755600/1755661/original.jpg "Erfolgreiche Software-Projekte im agilen Kontext erfordern, dass alle Beteiligten reibungslos miteinander kommunizieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1754400/1754416/original.jpg "Zen-Coding soll dabei helfen, sich beim Programmieren auf das Wesentliche zu konzentrieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1754100/1754124/original.jpg "Revenera hat untersucht, welche Strategien die Softwarehersteller beim Verkauf ihrer Lösungen verfolgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759900/1759918/original.jpg "Die Functional-Safety-Zertifizierung für RISC-V wird für die nächste Version 1.40 der IAR Embedded Workbench für RISC-V verfügbar sein. Der Zertifizierungsprozess soll voraussichtlich Anfang 2021 abgeschlossen sein.")
:quality(80)/images.vogel.de/vogelonline/bdb/1758100/1758186/original.jpg "Eine Sicherheitslücke im BlueZ-Bluetoothstack erlaubt unauthorisierten Angreifern die Ausführung von Linux-Code auf Kernel.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755500/1755556/original.jpg "Trotz einer gewissen Abgrenzung und anderer Vorteile gilt es auch bei Containern, bei der Sicherheit nachzuarbeiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1749000/1749042/original.jpg "Porsche investiert in das Software-Unternehmen Aurora Labs und will dessen Technik im VW-Konzern einführen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759800/1759846/original.jpg "Compiler-Optimierung ist von Natur her eine komplexe Angelegenheit. Der Erfolg einer solchen Optimierung hängt sehr stark von dem zu optimierenden Source Code ab.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755600/1755646/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1739700/1739781/original.jpg "Subjektiv betrachtet hat so ziemlich jeder Entwickler seine persönlichen Favoriten, wenn es um Programmiersprachen geht. Aber welche Programmiersprachen werden ganz speziell in Embedded-Software auch am häufigsten eingesetzt?")
:quality(80)/images.vogel.de/vogelonline/bdb/1739100/1739166/original.jpg "Nadine Riederer, CEO von Avision: „Wir gehen davon aus, dass Microsoft den Support für C# aus Kostengründen über kurz oder lang einstellen wird.“")
:quality(80)/images.vogel.de/vogelonline/bdb/1760300/1760349/original.jpg "Für Raspberry Pi Modelle 2, 3 und 4 gibt es nun einen eigenen Build des Linux-Betriebssystems Ubuntu 20.10 („Groovy Gorilla“) - einschließlich Linux-Desktop und neuem Micro-Cloud-Stack.")
:quality(80)/images.vogel.de/vogelonline/bdb/1747400/1747471/original.jpg "trace-cmd, kernelshark oder Tracecompass sind einige mächtige Tools, die das Tracing und Debugging in Linux erheblich vereinfachen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1736000/1736006/original.jpg "Linux gilt gemeinhin als sicheres Betriebssystem. Nun aber warnen FBI und NSA explizit von einem auf Linux-Systeme abzielenden Rootkit, dass direkt mit russischen Hackern in Verbindung gebracht wird.")
:quality(80)/images.vogel.de/vogelonline/bdb/1731900/1731947/original.jpg "Einzelne Vorgänge innerhalb eines Embedded-Systems nachzuvollziehen oder zu analysieren kann sich als Herausforderung gestalten. Linux bietet nativ bereits eine Tracing-Infrakstruktur und hält eine Reihe von Tracing-Tools bereit, mit der sich Eriegnisse gezielt steuern oder überprüfen lassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760500/1760533/original.jpg "Der Arm Design-Reviews-Prozess greift nun auch auf schnelle Verifikationsmethoden von Mentor zurück.")
:quality(80)/images.vogel.de/vogelonline/bdb/1757000/1757044/original.jpg "In kleinen Schritten zum Ziel: Gerade bei der statischen Analyse lohnt es sich, zunächst schrittweise mit kleineren Stufen vorzugehen, um die besten Ergebnisse zu erzielen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1757700/1757745/original.jpg "Percepio Tracealyzer 4.4 bietet neue Features zur Unterstützung von Embedded Linux.")
:quality(80)/images.vogel.de/vogelonline/bdb/1754000/1754080/original.jpg "Mutationstest-Prozess: Im Testwerkzeug TESSY lassen sich alle Aktivitäten automatissieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755300/1755302/original.jpg "Unternehmen verlassen sich zunehmend auf intelligente Berichte und Analysen auf der Grundlage von Daten, die sich über mehrere Quellen und Bereiche erstrecken. Im Falle von Operations Bridge (OpsBridge) erhält COSO Data Lake Topologiedaten, metrische Daten und Ereignisse von verschiedenen OpsBridge-Komponenten wie Operations Agents, SiteScope, Business Process Monitor, Real User Monitor oder Network Operations Management und anderen, die mit jedem Release hinzugefügt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1750500/1750540/original.jpg "Das Release 2020b bringt auch die UAV Toolbox für unbemannte Flugobjekte mit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1742500/1742533/original.jpg "Die Kombination aus Blockchain, KI und IoT birgt für Unternehmen mit größeren Lieferketten ein enormes Potential.")
:quality(80)/images.vogel.de/vogelonline/bdb/1731300/1731355/original.jpg "Explainable AI (XAI) ist in Konzept, um Künstliche Intelligenz erklärbar zu machen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1753300/1753360/original.jpg "Im Embedded-Umfeld sind Multicore-Systeme immer häufiger anzutreffen. Die am weitesten verbreitete Software-Architektur ist Asymmetrisches MultiProcessing (AMP), bei der jeder Kern mit einem eigenen Betriebssystem oder gar ohne Betriebssystem arbeitet. Solche Systeme benötigen in der Regel eine übergeordnete Überwachungssoftware, die die Kontrolle der Boot-Reihenfolge und der Kommunikation und Sicherheit zwischen den Kernen ermöglicht. Es gibt im Großen und Ganzen zwei Optionen: einen Hypervisor oder ein Multicore-Rahmenwerk, wie z.B. solche, die auf dem OpenAMP-Standard basieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1693100/1693103/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1682700/1682778/original.jpg "Deadlock bei konkurrierendem Zugriff")
:quality(80)/images.vogel.de/vogelonline/bdb/1684000/1684063/original.jpg "Gerade bei Safety-kritischen Einsätzen im Automotive-Bereich dürfen Speicherzugriffe im Multicore-Mikrocontroller das Echtzeitverhalten eines Embedded-Systems nicht zu sehr beeinflussen – zumindest nicht in einem Maße, dass nicht mehr vorhersehbar ist. Wie kann also der Speicher in Multicore-MCUs effizient genutzt werden?")
:quality(80)/images.vogel.de/vogelonline/bdb/1760000/1760081/original.jpg "Erweiterungen für MATLAB installieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1757600/1757625/original.jpg "Vom Code-Editor bis hin zum vollwertigen Betriebssystem gibt es zahlreiche nützliche Online-Tools für Entwickler.")
:quality(80)/images.vogel.de/vogelonline/bdb/1754600/1754663/original.jpg "Der BIOS-Wizard von Advantech soll das Startverhalten von Embedded-Systemen durch Anpassungen positiv beeinflussen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1307300/1307304/original.jpg "Da Safety und Security zum Teil unterschiedliche Regelsätze und Protokolle verwenden, zogen es Softwareentwickler in der Vergangenheit vor, eines der beiden über das andere zu priorisieren – meist zu Lasten der Security. Doch das ist nicht zwingend nötig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1645100/1645114/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1499800/1499876/original.jpg "Mit einer viertuellen Identität im Netz unterwegs: Datenspezialisten der Forensik.IT GmbH haben eine Möglichkeit entwickelt, mit der Nutzer von der Datensammelwut von Amazon, Google,Facebook & Co. verschont bleiben soillen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1415200/1415280/original.jpg "Gerade in der Medizintechnik haben Geräte oft eine lange Lebensdauer. Darauf eingesetzte Software muss zudem feste Programmierstandards erfüllen und ZErtifizierungen erlangen, um eigesetzt werden zu können. Was aber, wenn im Lebensverlauf des Geräts die eingesetzte Software nachträglich geändert werden muss?")
:quality(80)/images.vogel.de/vogelonline/bdb/1384100/1384113/original.jpg "Andreas Sczepansky, QA Systems: „Für uns ist die DConf Mittel und Weg, selber über den Tellerrand unserer Programmiersprachen hinauszuschauen und unseren Partnern einen solchen Blick zu ermöglichen.“")
:quality(80)/images.vogel.de/vogelonline/bdb/1367600/1367639/original.jpg "Coding-Standards können hinsichtlich Security by Design dem Entwickler eine Menge Arbeit einsparen. Doch was sind die Vorzüge und Nachteile der drei gängigsten Standards, und wie kann sich ein Entwickler für den entscheiden, der seinen Ansprüchen am nähsten kommt?")
:quality(80)/images.vogel.de/vogelonline/bdb/1366600/1366628/original.jpg "Je komplexer das Auto wird, desto größer ist die Gefahr durch Schwachstellen. Das betrifft beide Aspekte der Software-Sicherheit gleichermaßen: Safety und Security.")
:quality(80)/images.vogel.de/vogelonline/bdb/1314900/1314966/original.jpg "QA·C++ 4.2 mit AUTOSAR-Compliance-Modul")
:quality(80)/images.vogel.de/vogelonline/bdb/1287900/1287966/original.jpg "TÜV-geprüft: Cantata 7.2 ist für die Entwicklung sicherheitsrelevanter Software in den Bereichen Industrie, Automotive, Bahntechnok, Atomindustrie und Medizintechnik zertifiziert.")
:quality(80)/images.vogel.de/vogelonline/bdb/756700/756743/original.jpg "Das C++-Analysewerkzeug von PRQA verfügt in der Ausgabe 3.2 über 53 Metriken zur Messung der Codequalität. Das sind mehr als doppelt so viele wie in der Vorgängerversion.")