:quality(80)/p7i.vogel.de/wcms/97/b8/97b86180c3b056c5558f1e89e4b6fa22/89860262.jpeg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (Bild: GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")
:quality(80)/p7i.vogel.de/wcms/65/46/654669f191c36807b0b9220d4d1dc17c/0105202171.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/p7i.vogel.de/wcms/16/2b/162b2abbd1b852a9f3f478d6c6fbdede/78352155.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927780/original.jpg "Eine Plattform für Trendtechnologien der Zukunft: Die World of QUANTUM bringt ein umfassendes Vortragsprogramm und vielfältige Ausstellungsformate zusammen . (Entwurf, designed by meplan.)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/41/1f/411f8ad27405977bbb7cb9206df07be4/0111388692.jpeg "Abbildung 1 (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/f9/5f/f95fcd042af077dc3d66899dc2816e29/0109937725.jpeg "Erhöhte Sicherheit: Security-fokussierte Programmiersprache Rust nun für PikeOS nutzbar (Bild: SYSGO)")
:quality(80)/p7i.vogel.de/wcms/a4/54/a4541f4c599a4a7ec5321d90d5f1645b/0112110043.jpeg "Die Anzeigen des Kombiinstruments und des zentralen IVI verschmelzen. In modernen Fahrzeugen spielt die Software eine wichtige Rolle. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/9d/c5/9dc51aceca8d17c99bb4f2fe207aa607/0111648705.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/ca/a0/caa05b9965bf706d74a5eb9747d6b2da/0110637610.jpeg "MOSA-Ziele konzentrieren sich darauf, offene Standards und modulare Komponenten zu verwenden, um die Entwicklungskosten zu reduzieren und die Flexibilität von Systemen zu erhöhen. (Bild: frei lizenziert)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/H4TpkUUxUA9NGq5-yPLmHlLM1j8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/ee/3e/ee3e6bd1548c02ee07ac5edd7725d5af/77955554.jpeg "Auf einem Embedded-Linux-System direkt lässt sich Software aufgrund der begrenzten Ressourcen nur schlecht debuggen. Das in Linux integrierte Tool GDB erlaubt, die Embedded Software über einen PC extern auf Fehler zu untersuchen. (Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/a1/22/a12273ea61fe7f569b7b6a9f06493bc0/0110643930.jpeg "KI-Modelle spielen eine bedeutende Rolle in vielen Anwendungen, nicht zuletzt bei Lösungen für assistiertes oder gar autonomes Fahrens. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/df/de/dfde99db2fd6a284729aa7388502f129/0107037164.jpeg "Wenn der Preis wichtiger ist als Sicherheit: Es besteht ein Risiko für viele Firmen, sofern VPN und grundlegende Sicherheitsvorkehrungen im Homeoffice nicht obligatorisch sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/24/2e/242e280e4bd31499e2b8cfacbbd48a8b/0105611684.jpeg "Die Erweiterung der Compiler Suite soll das Entwickeln neuer Anwendungen für bestimmte Prozessoren im Automotive-Bereich vereinafchen. (Bild: NXP)")
SecDevOps – Sichere, agile Softwareentwicklung
Gegenüber linearen Entwicklungsmethoden wie dem Wasserfallmodell bietet agile Softwareentwicklung einige Vorteile. Hinsichtlich der Sicherheit gibt es dabei aber einige Knackpunkte, die Janosch Maier von Crashtest Security genauer dargelegt hat.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/97400/97430/65.png "Logo single.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Ob Scrum, Kanban oder Extreme Programming: Agile Methoden der Softwareentwicklung werden bereits von Entwicklern in vielen Unternehmen angewendet. Sie sind schlicht flexibler und leistungsfähiger als lineare Vorgehensmodelle, bei denen die Projektphasen strikt abgegrenzt aufeinander folgen.
Diese Leistungsfähigkeit erkauft man sich aber mit einer zunehmenden Komplexität, die wiederum zu Lasten der Sicherheit geht, wie Janosch Maier unterstreicht. Der Gründer von Crashtest Security nennt im Folgenden die vier großen Vorteile agiler Entwicklung sowie potenzielle Stolpersteine und die Vorzüge von SecDevOps.
Die Vorteile von Agile Programming
1. Anpassungsfähigkeit: Bei der herkömmlichen Schritt-für-Schritt-Programmierung kann es vorkommen, dass Produkte die Anforderungen der Kunden nicht exakt erfüllen und neugestaltet werden müssen, was Zeit und Geld kostet. Mit agilen Methoden hingegen arbeiten die Entwicklungsteams eng mit dem Kunden zusammen und müssen am Ende des Projekts weniger Änderungen vornehmen. Dank kürzerer Entwicklungszyklen haben Softwareentwickler zudem die Möglichkeit, Produktänderungen auch in viel späteren Stadien des Prozesses vorzunehmen als bei herkömmlichen Methoden. Durch kontinuierliches Testen und Verifizieren können neue Produkte zudem früher eingesetzt werden.
2. Zusammenarbeit: Durch agile Methoden (z.B. Scrum) müssen Entwickler enger zusammenarbeiten, da sie alle 24 Stunden innerhalb des Scrum Teams im Daily Scrum berichten. Im besten Fall ist hier der Product Owner mit dabei und kann auftretende Fragen zu geplanten Funktionen direkt beantworten. Dies führt zu geringeren Kommunikationsbarrieren und einem häufigeren Wissensaustausch.
3. Transparenz: Bei der Wasserfallmethode können Kunden das Produkt erst sehen, wenn es fertig ist. Durch agile Methoden können sich Kunden nach jedem neuen Entwicklungszyklus an dem Prozess beteiligen und Feedback geben. Zusätzlich hat der Product Owner ein höheres Wissen über den Projektstatus, da Update-Meetings viel häufiger stattfinden.
4. Effizienz: Mit Hilfe von agiler Softwareentwicklung können Entwicklungsteams vorhandene Probleme zu einem viel früheren Zeitpunkt des Projekts herausfinden, da neue Funktionen kurz nach ihrer Erstellung getestet werden. Unternehmen können so Zeit und Geld sparen. Darüber hinaus schaffen sie einen Mehrwert für die Kunden, um ihren Wettbewerbsvorteil langfristig zu stärken.
Gleichzeitig birgt die agile Softwareentwicklung aber auch Risiken, schreibt Maier. „Ihr Ziel ist es, eine Vielzahl an Funktionen in kürzerer Zeit zu erstellen und zu integrieren.“ Damit gehe das Risiko einher, dass Sicherheitstests neuer Versionen erst am Ende eines Projekts oder nach größeren Releases durchgeführt werden.
„Da das Testen Zeit und Ressourcen erfordert, schreiben Entwickler häufig keine eigenen Sicherheitstests für die Software“, berichtet Maier. Insbesondere im Bereich der Webanwendungen werde man dann zu einem bevorzugten Ziel für Hacker. Wenn aber nun Agilität durch mehr Komplexität zu Sicherheitsproblemen führt, Sicherheit aber wiederum die Agilität negativ beeinflusst, wie können Unternehmen beides kombinieren?
Hierfür hat Janosch Maier drei Tipps parat:
1. Aufgrund der hohen Entwicklungsgeschwindigkeit bei agiler Softwareentwicklung kann nicht jeder Arbeitsschritt manuell ausgeführt werden. Häufig arbeiten agile Teams mit DevOps Methoden, bei denen Entwickler auch für den Betrieb der Software zuständig sind. Agile Build Pipelines automatisieren Schritte wie Funktionstests in der Bereitstellung der Software. In solche Build Pipelines lassen sich freie sowie kommerzielle Tools zum Erkennen von Sicherheitslücken integrieren.
Statische sowie dynamische Sicherheitsscanner finden zum Beispiel veraltete Programmbibliotheken oder Sicherheitsprobleme in der entwickelten Software. Das ist wichtig, da die Sicherheit zu jedem Zeitpunkt eines Projektes beachtet werden muss, was mit manuellen Tests sehr anstrengend ist. Dank automatisierter Sicherheitsscanner können sich Entwickler auf die Erstellung von Features konzentrieren, die tatsächlich einen geschäftlichen Nutzen schaffen.
2. Sicherheit sollte nicht als zusätzlicher Arbeitsschritt betrachtet werden, der nach jeder Bereitstellung auf DevOps angewendet wird, sondern als fortlaufende Vorgehensweise, die von Anfang an in jedem Entwicklungszyklus berücksichtigt werden muss.
3. Um die Sicherheit im Unternehmen vollständig zu implementieren, müssen Führungskräfte sicherstellen, dass in jeder Abteilung der Organisation eine „Sicherheitskultur“ gelebt wird.
Vorteile der Kombination aus Agilität und Security
Neben der Sicherheitsunterstützung kennt Maier weitere positive Aspekte, die nur durch die Integration von SecDevOps möglich sind:
1. Höhere Produktivität: Mit einem integrierten Sicherheitsframework können Entwickler effizienter arbeiten. Jede Iteration des Produkts ist gesichert. Dadurch können sich Entwickler auf die Entwicklung umsatzsteigernder Funktionen für die Webanwendung konzentrieren.
2. Datenschutz: Nach den Mitarbeitern sind Daten für jedes Unternehmen das wertvollste Gut. Daten sind das, was zu Kundeneinblicken und höherem Geschäftswert führt. Wenn sie den Zugriff auf Geschäftsdaten verlieren (z.B. durch einen Ransomware-Angriff), kann dies die Produktivität herabsetzen oder sogar die gesamte IT-Infrastruktur einfrieren. Dies kann zu direkten Kosten führen, da sich die meisten Unternehmen für das Lösegeld entscheiden. Ein Verlust von Kundendaten kann sogar noch schlimmer sein, da mangelndes Vertrauen der Kunden langfristig den Umsatz stark negativ beeinflusst.
3. Kosteneinsparungen: Die oben genannten Vorteile führen bereits zu (in)direkten Kosteneinsparungen. Eine „Regel“ der Informatik besagt, dass Fehler in jeder Phase der Softwareentwicklung, in der Sie gefunden werden 10x höhere Kosten verursachen als in der Phase davor (Planung, Entwicklung, Betrieb, …). Die Implementierung von IT-Sicherheit spart somit Geld, da sie Sicherheitslücken in einer früheren Phase der Entwicklung aufdeckt und diese somit behoben werden können.
Dieser Beitrag stammt von unserem Partnerportal Dev-Insider.de.
(ID:45843556)
:quality(80)/images.vogel.de/vogelonline/bdb/1346900/1346966/original.jpg "Die agile Entwicklungsmethodologie von Scrum: Wie lässt sich diese speziell auf die Embedded-Software-Entwicklung anwenden? (Clipdealer)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933700/1933775/original.jpg "Bei ihren Anwendungen und Diensten sollten Unternehmen gleichermaßen die Benutzererfahrung optimieren wie auch ein hohes Maß an Sicherheit gewährleisten. (meenkulathiamma - stock.adobe.com)")