:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Statische Analyse zur Sicherheitstest-Toolbox hinzufügen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Security von Beginn an in Software einzubauen ist viel effektiver, als sie erst am Schluss in den Code zu zwängen. Hier gilt dasselbe Prinzip wie für die Qualität, die sich auch nicht in eine Anwendung hinein testen lässt. Am effizientesten funktioniert die Früherkennung von Sicherheitslücken mit SAST (Static Analysis Security Testing).
Durch die Digitalisierung und Vernetzung in allen Märkten sind Unternehmen gefordert, bei der Softwareentwicklung besonders auf die Security zu achten. Zum Identifizieren von Schwachstellen in Software und Systemen gibt es verschiedene Techniken, die eine sogenannte Sicherheits-Toolbox bilden. Diese setzt auf eine Kombination verschiedener Testwerkzeuge. Dazu zählen etwa:
- SAST (Static Analysis Security Testing; Sicherheitstests mit statischer Analyse);
- DAST (Dynamic Analysis Security Testing; Sicherheitstests mit dynamischer Analyse);
- SCA (Source Code Analysis; Analyse der Quellenzusammensetzung);
- Schwachstellen-Scanner; und
- Penetrationstests.
:quality(80)/p7i.vogel.de/wcms/17/ea/17eaccef3ea2845327eaed2360fac40e/0101789004.jpeg "Bild 1: Ansteigende Kosten zum Beheben von Schwachstellen im SDLC Prozess.")
:quality(80)/p7i.vogel.de/wcms/89/4e/894e9ccb528951498c8ea0c587996632/0101789013.jpeg "Bild 2: Grobe Darstellung einer SAST-Fluss-Analyse.")
Die Motivation, die Sicherheit durch automatisierte Tools zu verbessern, besteht darin, das Identifizieren und Beheben von Schwachstellen so früh wie möglich im Softwareentwicklungs-Lebenszyklus vorzuverlegen. Korrekturen und Beseitigung werden komplizierter, je näher das Release der Anwendung rückt. Bild 1 zeigt, wie Kosten für das Beheben von Schwachstellen mit dem Fortschreiten des Software Development Lifecycles (SDLC) dramatisch ansteigen.
Sicherheitstests mit statischer Analyse (SAST)
SAST-Tools funktionieren auch ohne ablaufende Anwendung, und können daher in einem frühen Stadium des Entwicklungszyklus eingesetzt werden, in dem die Kosten für die Behebung niedrig sind. Auf seiner grundlegendsten Ebene arbeitet SAST, indem der Quellcode analysiert und anhand einer Reihe von Regeln überprüft wird. Üblicherweise mit der Identifizierung von Schwachstellen verbunden, warnen SAST-Tools Entwickler frühzeitig vor schlechten Programmiermustern, die zu Exploits, Verstößen gegen sichere Codierungsrichtlinien oder mangelnder Konformität mit Entwicklungsstandards führen, was in instabiler oder unzuverlässiger Funktionalität endet.
Zur Identifizierung von Sicherheitsproblemen finden zwei primäre Arten von Analysen Anwendung: die Fluss-Analyse (Flow Analysis) und die Analyse von Mustern (Pattern Analysis).
Bei der Fluss-Analyse-Methode analysieren die Werkzeuge den Quellcode, um den zugrunde liegenden Kontrollfluss und den Datenfluss des Codes zu verstehen (vgl. Bild 2). Das Ergebnis ist eine Zwischendarstellung oder ein Modell der Anwendung. Indem die Tools Regeln - oder Checker - gegen dieses Modell ausführen, identifizieren sie Programmierfehler, die Sicherheitslücken erzeugen. Beispielsweise kann eine Regel in einer C- oder C++-Anwendung String-Kopien identifizieren und dann das Modell durchlaufen, um festzustellen, ob der Quellpuffer jemals größer als der Zielpuffer sein kann. Ist dies der Fall, könnte eine Pufferüberlaufschwachstelle entstehen.
Die zweite gängige Methode ist die Analyse von Mustern: Bestimmte sicherheitskritische Konstrukte im Code zu vermeiden, ist die Grundlage für moderne Software-Engineering-Standards wie AUTOSAR C++14, MISRA C 2012 und Joint Strike Fighter (JSF). Diese Standards vereiteln die Möglichkeit, unzuverlässigen Code falsch zu interpretieren, falsch zu verstehen oder falsch zu implementieren. Mit der Musteranalyse können Entwickler eine sicherere Teilmenge der Entwicklungssprache im Kontext der Sicherheit einsetzen und so die Verwendung von Codekonstrukten verbieten, die das Auftreten von Schwachstellen überhaupt erst ermöglichen. Manche Regeln können Fehler durch Syntaxprüfung identifizieren, ähnlich einer Rechtschreibprüfung in einem Textverarbeitungsprogramm. Manche moderne Tools können subtile Muster erkennen, die mit einer schlechten Codekonstruktion verbunden sind.
Vorteile des Einsatzes von Static Analysis Security Testing
Jede Testmethodik hat ihre Stärken. Viele Unternehmen konzentrieren sich zu sehr auf DAST und Penetrationstests. Aber der Einsatz von SAST bietet mehrere Vorteile gegenüber anderen Testtechniken
- Code Coverage: Die Menge an Code, die getestet wird, ist eine kritische Größe für die Software-Sicherheit. In jedem Abschnitt der Codebasis sind Schwachstellen möglich, und ungetestete Abschnitte ermöglichen unter Umständen Angriffe auf die Anwendung. SAST-Tools, insbesondere solche, die Regeln zur Musteranalyse einsetzen, können eine viel höhere Codeabdeckung bieten als dynamische Techniken oder manuelle Prozesse. Sie haben Zugriff auf den Anwendungsquellcode und die Anwendungseingaben, einschließlich versteckter Eingaben, die in der Benutzeroberfläche nicht sichtbar sind.
- Fehler-Ursachen-Analyse: SAST-Werkzeuge fördern das effiziente Beheben von Schwachstellen. Bei Sicherheitstests mit statischer Analyse lässt sich leicht die genaue Codezeile identifizieren, die den Fehler einführt. Die Integration in die IDE kann die Behebung von Fehlern beschleunigen, die SAST-Tools auffinden.
- Fachkenntnisse verbessern: Wenn sie SAST-Tools aus der IDE verwenden, erhalten Entwickler sofortiges Feedback zu ihrem Code. Diese Daten bestärken und schulen sie in sicheren Kodierungspraktiken.
- Operative Effizienz: Entwickler verwenden SAST zu Beginn des Entwicklungslebenszyklus, auch für einzelne Dateien direkt aus ihrer IDE heraus. Das frühzeitige Auffinden von Fehlern im SDLC senkt die Kosten für die Fehlerbehebung erheblich. Indem Fehler von vornherein vermieden werden, müssen die Entwickler diese später nicht mehr suchen und beheben.
Das Beste aus SAST herausholen
Bei SAST handelt es sich um eine umfassende Testmethodik, deren erfolgreiche Einführung einige anfängliche Anstrengung und Motivation erfordert.
Es empfiehlt sich stets, SAST so früh wie möglich einsetzen. Obwohl Teams die SAST-Tools schon früh im SDLC einsetzen können, gibt es Unternehmen, die die Analyse bis zur Testphase hinauszögern. Auch wenn die Analyse einer vollständigeren Anwendung eine prozedurübergreifende Datenflussanalyse ermöglicht, kann die zeitliche Vorverlegung mit SAST und die Code-Analyse direkt von der IDE aus Schwachstellen wie Fehler bei der Eingabevalidierung identifizieren. Sie ermöglicht zudem, dass Entwickler einfache Korrekturen ausführen, bevor sie Code für Builds einreichen. Dadurch lassen sich spätzyklische Änderungen für die Sicherheit vermeiden.
SAST lässt sich besonders gut mit Agile und CI/CD-Pipelines verwenden. Oft wird die SAST-Analyse missverstanden. Viele Teams halten sie für zeitaufwendig, weil sie den gesamten Quellcode des Projekts eingehend analysiert. Dies kann dazu führen, dass Unternehmen glauben, die SAST sei mit den Methoden der schnellen Entwicklung unvereinbar, was unbegründet ist. Denn in der integrierten Entwicklungsumgebung sind nahezu sofortige Ergebnisse von Sicherheitstests der statischen Analyse verfügbar, die sofortiges Feedback ermöglichen und die Vermeidung von Schwachstellen gewährleisten. Moderne SAST-Tools führen inkrementelle Analysen durch, um die Ergebnisse nur von dem Code anzuzeigen, der zwischen zwei verschiedenen Builds geändert wurde.
Es erlaubt einen Umgang mit gestörten (Noisy) Ergebnissen. Traditionelle Sicherheitstesttools für die statische Analyse enthalten oft viele informelle Ergebnisse und geringfügigere Probleme im Zusammenhang mit korrekten Programmierstandards. Bei modernen Tools, etwa von Parasoft, können Benutzer auswählen, welche Regeln/Checker benutzt werden sollen, und die Ergebnisse nach dem Schweregrad des Fehlers filtern, wobei diejenigen, die keine Untersuchung rechtfertigen, ausgeblendet werden.
Viele Sicherheitsstandards von OWASP, CWE, CERT u.ä. verfügen über Risikomodelle, die bei der Identifizierung der wichtigsten Schwachstellen helfen. Das eingesetzte SAST-Tool sollte diese Informationen nutzen, damit man sich auf das Wesentliche konzentrieren kann. Benutzer können die Ergebnisse eher auf der Grundlage anderer kontextbezogener Informationen wie Metadaten zum Projekt, Alter des Codes und für den Code verantwortlichen Entwickler oder Team filtern. Werkzeuge wie von Parasoft ermöglichen die Verarbeitung dieser Informationen mit künstlicher Intelligenz (KI) und maschinellem Lernen (ML), um die kritischsten Probleme weiter zu bestimmen.
Bei erfolgreichen SAST-Einführungen liegt der Fokus auf dem Entwickler.Sie bieten die Tools und Anleitungen, die Entwickler benötigen, um Sicherheit in die Software einzubauen. Dies ist wichtig in agilen und DevOps/DevSecOps-Umgebungen, in denen schnelles Feedback für die Aufrechterhaltung der Geschwindigkeit entscheidend ist. IDE-Integrationen ermöglichen Sicherheitstests direkt von der Arbeitsumgebung des Entwicklers aus - auf Dateiebene, auf Projektebene oder einfach zur Auswertung des geänderten Codes.
Diesen Beitrag lesen Sie auch in der Fachzeitschrift ELEKTRONIKPRAXIS Ausgabe 23/2020 (Download PDF)
Bei der Analyse von Software nach Sicherheitsfragen ist eine Einheitsgröße nicht für alle Unternehmen geeignet. Vielmehr ist es wichtig, dass die Regeln/Checker die jeweiligen Probleme abdecken, die für diese spezielle Anwendung kritisch sind. Unternehmen, die am Anfang der Sicherheitstests stehen, möchten die Regeln möglicherweise auf die häufigsten Sicherheitsprobleme wie Cross-Site-Scripting und SQL-Injection beschränken. Andere Unternehmen sind mit speziellen Sicherheitsanforderungen konfrontiert, die auf Vorschriften wie PCI DSS basieren. Man sollte also Lösungen suchen, die eine kontrollierte Regel-/ Checker-Konfiguration ermöglichen, die den eigenen Anforderungen entspricht anstelle von einer allgemeingültigen Konfiguration.
:quality(80)/images.vogel.de/vogelonline/bdb/1608500/1608578/original.jpg "Security von Anfang an: Die Nachweisbarkeit von Safety-und Security-Tests wird immer mehr zur
Voraussetzung. Statische Analyse kann hier weiterhelfen – solange ihr Einsatz effizient bleibt. (©hywards - stock.adobe.com)")
Static Application Security Testing (SAST) – Statische Analyse nicht erst am Ende beginnen
* Arthur Hicken ist Chief Software Evangelist bei Parasoft
(ID:46981306)
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/f8/d0/f8d02766962e82673ccb687468afb87f/0110191797.jpeg "Kein Rätselraten: Eine intelligente Testausführung auf der Ebene der Entwickler und Tester in deren lokalen IDEs ist von entscheidender Bedeutung. (Bild: Jim Barber)")