Statische Codeanalyse für sicherheitskritische Software mit CodeSonar
CodeSonar ist das ideale Werkzeug für die statische Codeanalyse. Das Tool von CodeSecure (vormals GrammaTech) wird von Firmen eingesetzt, die eine "Null-Fehler-Toleranz" in ihren Projekten haben. CodeSonar ist außergewöhnlich präzise und sehr benutzerfreundlich.In zahlreichen Vergleichen zwischen verschiedenen Statischen Code-Analysetools hat CodeSonar als bestes Werkzeug abgeschnitten.
Wenn Ihre Firma unternehmenskritische Anwendungen entwickelt, bei denen Zuverlässigkeit und Sicherheit im Vordergrund stehen, sollten Sie CodeSonar nutzen.
CodeSonar ermöglicht Teams die Analyse kompletter Anwendungen.
Hierdurch übernehmen Sie die Kontrolle über Ihre Software-Lieferkette und beseitigen kostspielige und schwer zu findende Fehler frühzeitig im Software-Entwicklungsprozess.
CodeSonar ist skalierbar, verbessert die Qualität und schafft Vertrauen.
Viele Normen zur funktionalen Sicherheit wie IEC 61508, ISO 26262, EN 50716 (Nachfolgenorm der EN 50128) und DO-178C schreiben die Verwendung statischer Analysen vor, um die Codequalität zu verbessern und Codierungsstandards durchzusetzen.
CodeSonar wurde speziell entwickelt, um Softwareentwickler bei der Erstellung dieser sicherheitskritischen Softwaresysteme zu unterstützen.
Die hohe Fehlererkennung, die tiefgehende Analyse des gesamten Programms unter Verwendung der abstrakten Ausführung, die ausführlichen Erklärungen der Warnungen, einschließlich der Warnpfade
und der Code-Navigation sowie die Erweiterbarkeit machen CodeSonar zu einem bevorzugten Tool für die Entwicklung sicherheitskritischer Software.
Implementieren Sie Deep SAST und finden Sie Schwachstellen, die andere übersehen
CodeSonar ist eine statische Code-Analyse-Lösung, die Ihnen hilft, Qualitäts- und Sicherheitsmängel in Ihrem Quellcode oder Ihren Binärdateien zu finden und zu verstehen. CodeSonar erleichtert die Integration von SAST in Ihren Entwicklungsprozess durch die Unterstützung von über 100 Compilern und Compiler-Versionen. Das Tool verfügt über zahlreiche Integrationen in gängige Entwicklungswerkzeuge und IDEs. Die zu prüfende Software wird interprozedural analysiert. Hierdurch werden Probleme aufgedekct, die andere Tools oft nicht finden.CodeSonar hat Checker für hunderte Problemfälle. Zusätzlich ist es möglich, eigene, benutzerdefinierte Code-Checker zu erstellen.
Das Werkzeug ist besonders stark bei der Aufdeckung von Nebenläufigkeitsproblemen (Concurrency Checks).
Bringen Sie Sicherheit in DevSecOps
CodeSonar hat DevSecOps schon gemacht, bevor es "cool" war. Branchen und Unternehmen durchlaufen einen rasanten digitalen Wandel. Techniken wie DevSecOps helfen, auf diese Herausforderung zu reagieren, indem sie Software schneller und mit weniger Fehlern auf den Markt bringen. Die statische Codeanalyse ist ein grundlegender Bestandteil von DevSecOps. Als führendes statisches Analysetool unterstützt Sie CodeSonar bei der Produktentwicklung.Gain In-Development Insights
Finden Sie nicht nur Probleme, sondern verstehen Sie genau, woher eine Warnung kommt und welche Risiken bestehen. CodeSonar bietet SAST für das gesamte Programm. Klare und verständliche Berichte helfen Entwicklern Probleme zu verstehen, zu priorisieren und schnell zu beheben.Funktionale Sicherheit und Coding Standards
CodeSonar hilft Ihnen, Ihre Ziele im Bereich der funktionalen Sicherheit zu erreichen und Codierungsstandards einzuhalten.Unter anderem werden folgende Programmierrichtlinien unterstützt:
- MISRA
- AUTOSAR
- JSF++ (Lockheed Martin Corporation)
- CWE (Common Weakness Enumeration)
- CERT (Software Engineering Institute Computer Emergency Response Team)
- DISA-STIG (Security Technical Implementation Guide)
- ISO/IEC TS 17961 (C Secure Coding Rules Technical Specification)
- JPL (JPL Institutional Coding Standard for the C Programming Language)
- Power of Ten (NASA Jet Propulsion Lab)
- OWASP (Open Worldwide Application Security Project)
- und andere...
- eigene Programmierrichtlinien können auf einfache Weise implementiert werden.
CodeSonar ist für die höchsten Sicherheitsstufen der Normen IEC 61508, ISO 26262 und EN 50128 vorqualifiziert.
Artefakte für die Qualifizierung nach DO-178C/DO-330 sind ebenfalls verfügbar.
CodeSonar ist zudem erfolgreich in sicherheitskritischen Projekten nach IEC 62443 (Security for Industrial Automation and Control Systems) und IEC 62304 / ISO 13485 (Medizinische Geräte) eingesetzt.
CodeSonar Safety Documentation Kit
Für die Nutzung in der sicherheitskritischen Software-Entwicklung verfügt CodeSonar über ein Safety Documentation Kit. Dieses Kit enthält von Exida ausgestellte Zertifikate zur funktionalen Sicherheit sowie ein Tool Safety Manual. Dieses Safety Documentation Kit ist besonders nützlich für Teams, die Software entwickeln, die den Normen IEC 61508, ISO 26262 und CENELEC EN 50128 entsprechen muss. CodeSonar wird auch häufig in Avionikprojekten eingesetzt, die dem Sicherheitsstandard DO-178C entsprechen müssen. Das Dokument DO-330 beschreibt, wie Werkzeuge für diesen Standard qualifiziert werden können. DO-178C ist viel projektspezifischer. Wir unterstützen Sie hier gemeinsam mit CodeSecure und Afuzion bei der Zertifizierung für Luftfahrtprojekte.Unterstützte Programmiersprachen
CodeSonar überprüft Code zahlreicher Programmiersprachen wie C/C++, Java, C#, Kotlin, Python, Go, Rust, JavaScript und TypeScript sowie native Binaries in Intel und ARM-Instruction Set Architekturen. Erfahren Sie mehr über die Programmiersprachen-Unterstützung von CodeSonar in unserem VideoDer Austausch von Informationen mit anderen Tools in Ihrer DevSecOps-Umgebung erfolgt über eine OASIS SARIF-Schnittstelle.
SDLC-Integrationen
CodeSonar ist für die Unterstützung großer Teams konzipiert. Defekte werden über Builds hinweg verfolgt, selbst wenn sich der Code ändert. Fehlermeldungen können mit Anmerkungen versehen, eingestuft, zugewiesen, gesucht und verglichen werden. Die Unterstützung für viele Team-Tools ist bereits im Lieferumfang enthalten.Letzte Neuigkeiten
(aktuelle CodeSonar-Version: 8.3)
- Statische Code-Analyse: CodeSonar Version 8.3 verfügbar
- CodeSonar 8.2: Neue Version mit erweiterten Analysefunktionen jetzt verfügbar
- CodeSonar 8.1 verfügbar: All-In-One SAST-Platform mit Unterstützung neuer Programmiersprachen
- Battery Ventures kauft die Sicherheits-Software-Sparte von GrammaTech
- Neues Video: statische Code-Analyse mit GrammaTech CodeSonar in 11 Minuten
White-Paper und Präsentationen:
Statische Codeanalyse mit CodeSonarCodeSonar Produktbroschüre
Wegweiser zur Auswahl eines Werkzeuges zur Statischen Codeanalyse
Auffinden von Nebenläufigkeitesfehlern durch Statische Codeanalyse
Detect bottlenecks: Identify problems with the cache usage (by Royd Lüdtke, Verifysoft)
Making Safety-Critical Software Development Affordable with Static Analysis (external link)
Finding Concurrency Errors with CodeSecure Static Analysis
Detecting Domain-specific Coding Errors with Static Analysis
Simplifying ISO 26262 Compliance with CodeSecure
Royd Lüdtke: "Meine Aufgabe ist es, dem Kunden die technischen Hürden bei der Einführung von Softwaretools zu nehmen"
Royd Lüdtke ist Direktor für Statische Codeanalyse bei Verifysoft Technology. Statische Analysetools decken eine Vielzahl von Bugs auf und weisen auf sicherheitsgefährdende Schwachstellen hin. Royd Lüdtkes Aufgabe ist, Kunden die technischen Hürden bei der Einführung von Softwaretools zu nehmen und somit auch die Einarbeitungsphase möglichst kurz zu halten.