Statische Codeanalyse: "Shift left" wird mit CodeSonar-Update einfacher

Mit neuen Funktionen in seinem Tool CodeSonar 7.1 für die statische Codeanalyse vereinfacht GrammaTech die Realisierung des Shift-Left-Ansatzes. Das Entwickeln von sicherer Software soll damit einfacher werden.
Für sein Codeanalyse-Tool CodeSonar für statische Sicherheitstests (Static Application Security Testing / SAST) hat GrammaTech die neue Version 7.1 veröffentlicht. Vertrieb und Support der GrammaTech-Produkte im deutschsprachigen Raum erfolgt durch Verifysoft Technology. CodeSonar ermöglicht es Entwicklern, sichereren Code zu schreiben, ohne dass die gewohnten Arbeitsabläufe geändert werden müssen. Die statische Codeanalyse kann bereits sehr früh im Entwicklungsprozess eingesetzt werden und trägt somit dazu bei, Kosten bei der Softwareentwicklung einzusparen.
Hier den gesamten Artikel lesen.
Elektroniknet.de, 7. Oktober 2022

Statische Codeanalyse und dynamische Tests - Gemeinsam zum Erfolg

Softwareentwicklern stehen zwei Techniken zum Testen von Software zur Verfügung: dynamische Tests und die statische Codeanalyse. Erst wenn beide Methoden kombiniert werden, lassen sich Fehler in der Software weitgehend ausschließen.
Statische Codeanalyse und dynamische Tests kombiniert mit der Messung der Code-Coverage müssen komplementär eingesetzt werden, um möglichst viele Fehler ausschließen zu können. Die statische Codeanalyse kann dabei bereits früh im Entwicklungsprozess eingesetzt werden und somit hohe Kosten einsparen. Richtig eingesetzt, bieten Tools zur statischen und dynamischen Codeanalyse erhebliches Potenzial zur Kosteneinsparung und zur Steigerung der Produktivität.
Den vollständigen Artikel von Royd Lüdtke finden Sie hier.
Elektroniknet.de, 6. Dezember 2021

Integration in DevOps-Workflows und CI/CD-Pipeline: Shift-Left-Testing mit CodeSonar 6.0 von GrammaTech

Das Static Application Security Testing, kurz SAST, soll sich mit CodeSonar 6.0 von GrammaTech besser in bestehende DevOps-Pipelines integrieren. Darüber hinaus bietet das neue Major Release laut Hersteller verschiedene Visualisierungs- und Analyseverbesserungen.
CodeSonar ist eine Lösung für statische Sicherheitstests, die Entwicklern das Schreiben von sicherem Code erlauben soll, ohne dass sie gewohnte Arbeitsabläufe ändern müssen. Die Version 6.0 der SAST-Lösung bietet laut GrammaTech einige Visualisierungs- und Analyseverbesserungen sowie zusätzliche Sprach- und Compiler-Unterstützung. ...
DevInsider 28.04.2021

GrammaTech CodeSonar 6.0 mit tieferer Integration von statischen Sicherheitests (SAST) in DevOps-Pipelines

GrammaTech CodeSonar 6.0 mit tieferer Integration von statischen Sicherheitstests (SAST) in DevOps-Pipelines
Neue Funktionen des statischen Codeanalysetools machen „Shift-Left-Test“ und die Entwicklung von sicherer Software einfacher
ctrl-tec, 23. April 2021

Statische Sicherheitstests: Neue Funktionen vereinfachen "Shift-Left-Tests"

Mit der neuen Version 6.0 von CodeSonar lassen sich statische Sicherheitstests (SAST) in DevOps-Pipelines tiefer integrieren. Das Tool ermöglicht es Software-Entwicklern, sichereren Code zu schreiben, ohne dabei gewohnte Arbeitsabläufe ändern zu müssen. Elektroniknet.de, 22. April 2021

Softwarequalität ist kein Zufall

Bei der Softwarequalität stehen Funktionalität, Zuverlässigkeit und Wartbarkeit im Vordergrund. Funktionale Sicherheit und Zuverlässigkeit setzen allerdings voraus, dass eine Software möglichst keine Fehler hat. Dafür kommen im Entwicklungsprozess in der Regel zwei unterschiedliche Verfahren zum Einsatz: die statische Codeanalyse und das Testen zur Laufzeit. Verifysoft beschreibt, wie diese gemeinsam genutzt die Qualität der Systeme erheblich steigern können. ...
Den vollständigen Artikel finden Sie hier

ATZ Elektronik 11/2020, November 2020, 15. Jahrgang, Seiten 40–43

Mit statischer Code-Analyse zum Erfolg

IoT-Geräte geraten vermehrt in den Fokus von Cyber-Kriminellen.
Der klassische IT-Ansatz, Schwachstellen erst im Feld zu beseitigen, kann fatal sein.
Besser ist, den Fokus auf die Qualität und Sicherheit des Codes zu legen – bereits zu Beginn der Entwicklung.

Lesen Sie hier den vollständigen Artikel.

Elektronik Systemdesign & Software-Engineering August 2020 (Seite 14 ff.)

Input-Validierung in der Entwicklung - Unbefugte müssen draußen bleiben

Um Daten und Datenquellen zu validieren, kommen prinzipiell zwei Aspekte zum Einsatz:
Zum Einen muss geprüft werden, wie die Daten innerhalb des Programms fließen und wie sie vor allem die sensiblen Code-Teile erreichen. Zudem muss gepüft werden, ob die Daten innerhalb eines zu erwartenden Bereichs liegen. ...
... Tools wie CodeSonar von GrammaTech sind in der Lage, Programmierfehler und potenziell gefährliche Datenströme automatisch zu erkennen - sowohl im Quellcode als auch im Binärcode. Damit kann die statische Analyse frühzeitig im SDLC als fortlaufender Prozess verankert werden.
Gerade bei Entwicklung von Automotive-Software und -Komponenten ist diese Sicherheitsschicht unverzichtbar, um zuverlässige Produkte zu schaffen. ...

Lesen Sie hier (ab Seite 26) den vollständigen Artikel.

Elektronik Automotive, April 2020 (Seite 26 ff.)

MISRA C auf Altcode anwenden: Best Practices im Nachgang

MISRA C hat sich nicht nur in der Automobilbranche als Programmierstandard bewährt. Der Einstieg birgt jedoch ein paar Hindernisse. Eine Hilfe zur Bewältigung ist die statische Code-Analyse.
... Embedded-Systeme werden zunehmend kritisch. Nicht nur für die Geschäftsmodelle zahlreicher Branchen: In der Medizintechnik oder bei Aspekten der funktionalen Sicherheit stehen Gesundheit und Leben von Menschen auf dem Spiel, sollte ein Gerät fehlerhaft arbeiten. Gleichzeitig sind die Entwicklungsteams gefordert, ihre Produkte möglichst schnell marktreif zu entwickeln. ...

Lesen Sie hier (ab Seite 26) den vollständigen Artikel.

Elektronik Praxis, "Embedded Systems Development & IOT I", Februar 2020 (Seite 26 ff.)

MISRA C auf Legacy Code anwenden: Best Practices im Nachgang

MISRA C hat sich als Programmierstandard in der Automobilbranche bewährt. Auch andere Branchen können von der Richtlinien- und Regelsammlung profitieren, um Sicherheit und Zuverlässigkeit der Anwendungen zu steigern. Der Einstieg birgt jedoch ein paar Hindernisse, die man umschiffen muss. Eine wichtige Hilfe dabei ist die statische Code-Analyse.
embedded-software engineer, 20.01.2020

Statische Code-Analyse für Echtzeitdaten-Anwendungen im Automobil

Durch zunehmende Automatisierung und Connectivity steigt der Bedarf, zuverlässig Echtzeitdaten zu verarbeiten. Dabei gilt es, schon in der frühen Entwicklungsphase "Flaschenhälse" zu erkennen, welche die Performance beeinträchtigen. Ein geeignetes Verfahren hierfür ist laut Verifysoft die statische Code-Analyse.
Zwei aktuelle Trends stellen die Entwickler in der Automotive-Branche vor erhebliche Herausforderungen: Zum einen steigen die Anforderungen an die Sicherheit und Zuverlässigkeit der Systeme. Damit spielt die Qualitätssicherung über den gesamten Entwicklungs- und Lebenszyklus der Systeme hinweg eine immer größere Rolle, um die funktionalen und nicht-funktionalen Anforderungen sowie die Sicherheit der Systeme auf hohem Niveau zu gewährleisten. Zum anderen wächst der Bedarf an echtzeitfähigen Systemen...

Den vollständigen Artikel finden Sie hier

ATZ Elektronik 05/2019, October 2019, Volume 14, Issue 10, pp 46–49

API-Nutzung überprüfen - Mit maschinellem Lernen zu API-Checkern

Programmierschnittstellen sind allgegenwärtig, aber dennoch herausfordernd bei der Qualitätssicherung. Ein neuer Ansatz auf der Basis maschinellen Lernens hilft nun dabei, die korrekte Nutzung der Schnittstellen im Rahmen der statischen Code-Analyse zu überprüfen.
Ein Artikel von Mark Hermeling, Senior Director Product Marketing von GrammaTech.

Den vollständigen Artikel finden Sie hier .

Markt&Technik 28/2019

Binary-Analyse und -Rewriting unter MIT-Lizenz

GrammaTech will die Zusammenarbeit von Entwicklern in den Bereichen Binäranalyse, Reverse Engineering und Binary Rewritings fördern. GTIRB-Datenstruktur, Disassembler und Code-Rewriter des Herstellers werden deshalb künftig in einer Open-Source-Suite bereitgestellt.
Der Code-Security-Experte GrammaTech stellt die Datenstruktur „GrammaTech Intermediate Representation for Binaries“, kurz GTIRB, unter die freie MIT-Lizenz. Das Ziel ist, den Fortschritt in sicherheitskritischen Bereichen wie Embedded-Systemen durch bessere Zusammenarbeit zu beschleunigen.

Lesen Sie hier den vollständigen Artikel.

DevInsider 05/2019

Analyse statt Vertrauen

Software-Komponenten sollten bei der Qualitätssicherung genau unter die Lupe genommen werden. In der Anwendungsentwicklung wird in allen Bereichen auf Code von Drittherstellern zurückgegriffen. Im Sinne einer zügigen Markteinführung des fertigen Produkts ist der Einsatz von „Third-Party Code“ fast unumgänglich. Mit dieser geringeren Fertigungstiefe in der Software-Entwicklung einher geht jedoch auch ein Kontrollverlust: Häufig liegt der Fremd-Code nicht als Quellen vor, sondern in binärer Form.
Damit ist es schwierig, diese Komponenten auf Fehlerfreiheit und vor allem auf mögliche sicherheitsrelevante Schwachstellen hin zu überprüfen.
Dem entgegen stehen die strengen Vorgaben für Software und Geräteentwicklung im medizinischen Bereich. Entwickler und Hersteller müssen sich beim Programmieren und beim Testing an klare Standards und Normen halten. Die entsprechende vollständige Dokumentation seitens des Code-Zulieferers muss also vorliegen - oder der fragliche Code muss selbst zertifiziert werden…

Lesen Sie hier den vollständigen Artikel.
MEDeng 2/2019

Sichere Software ist Pflicht - Funktionale Sicherheit von Embedded Systemen

Fahrzeuge enthalten eine hohe Zahl an verschiedenen Softwares, doch mit diesen nimmt auch das Risiko für Schwachstellen und Programmierfehler zu. Qualitätssicherung und funktionale Sicherheit muss daher mit Normen wie der IEC 61508 und der ISO 26262 nachgewiesen werden.
Hierbei hilft die statische Code-Analyse die Fehler frühzeitig zu erkennen und diese mit möglichst wenig Aufwand zu beseitigen. Dies ist vor allem für sicherheitskritische Anwendungen unverzichtbar. Das Tool CodeSonar von Grammatech stellt hier eine Besonderheit dar, da auch Dateien analysiert werden können, die nur binär vorliegen.
Code Sonar von GrammaTech macht es möglich, Fehler noch vor dem lokalen Test-Build zu erkennen und zu beheben. Denn je früher ein Fehler beseitigt wird, desto schneller und günstiger kann ein Produkt eingeführt werden.
Elektronik automotive, Ausgabe 2/3.2019

Sicherer durch weniger Bugs

Mit der zunehmenden Digitalisierung werden Sicherheitsanforderungen an Anwendungen immer komplexer. Vor allem bei Embedded-Systemen nehmen Zuverlässigkeit und Sicherheit einen hohen Stellenwert ein, denn diese lassen sich meist nicht über zusätzliche Sicherheitslösungen absichern.
Da auch die zunehmende Vernetzung von Geräten potenzielle Angriffsziele für Cyberkiriminelle darstellt, nimmt hier die statische Code-Analyse eine zentrale Rolle ein. Tools wie CodeSonar von GrammaTech erstellen aus dem Code ein Modell, anhand dessen alle Daten-und Steuerungsströme durchlaufen und analysiert werden. Vorteil ist hier, dass die Analyse bereits in frühen Entwicklungsstadien eingesetzt werden kann, da kein ausführbarer Code vorliegen muss. Somit kann die Codequalität von Anfang an verbessert und Sicherheitslücken und Fehler frühzeitig entdeckt werden.
Die statische Analyse kann somit dynamisches Testing um eine analytische Methode ergänzen und hilft wichtige Programmierrichtlinien und- standards durchzusetzen und für notwendige Zertifizierungen zu dokumentieren.
SQ Magazin, Ausgabe 3/2019

GrammaTech erweitert CodeSonar 5 um C-Decompiler

Mit CodeSonar 5, dem Tool zur statischen Code-Analyse von GrammaTech, können Security-Entwickler auch dann Schwachstellenanalysen vornehmen, wenn der Code nur binär und ohne Debugging-Informationen vorliegt. Das Tool verfügt nun über einen integrieren C-Decompiler. Der zu analysierende Binärcode kann dadurch nicht nur wie bislang als Assembler Code angezeigt werden. Mit CodeSonar 5 können sich Entwickler Code, der im Rahmen der statischen Analyse Warnungen erzeugt wurde, auch als C-Code vorlegen lassen.
Dadurch ist es möglich, Warnungen von CodeSonar innerhalb eines Rankings wie zum Beispiel CVSS (Common Vulnerability Scoring System) zu bewerten. Das erleichtert die Integration in ein Vulnerability-Managment-Framework, das von vielen Standards wie PCI DSS (Payment Card Industrie Data Security Standard), ISO 27001 oder FISMA (US Federal Information Security Managment Act) gefordert wird. Das Upgrade steht allen Kunden mit aktivem Wartungsvertrag kostenlos zur Verfügung.

Lesen Sie hier den vollständigen Artikel.

Elektronik Praxis Nr. 4, 19. Februar 2019 ( Seite 53 )

CodeSonar 5.1 Zahl der unterstützten Programmier- und Scripting Sprachen erweitert.

GrammaTech, ein Anbieter für statische Code-Analyse, stellt seine neue Version 5.1 vor. Das bewährte Tool zur statischen Code-Analyse wurde um einige Funktionen erweitert, die besonders im Hinblick auf die aktuellen Herausforderungen bei der IoT-Entwicklung einen wichtigen Beitrag leisten.

So wurde die Zahl der unterstützen Programmier- und Scripting-Sprachen um Python erweitert: in der IoT-Welt werden zahlreiche unterschiedliche Sprachen genutzt. Neben C/C++ als wichtigste Sprachen für die Entwicklung der Embedded-Systeme kommen C#, ObjC, Java, Python zum Einsatz.

Die Neuerungen, die in CodeSonar integriert wurden, erleichtern die Fehlersuche und –beseitigung im IoT-Bereich erheblich. CodeSonar hilft den Entwicklungsteams dabei, die Qualität der Software signifikant zu steigern und gleichzeitig die Time to Market deutlich zu Senken.

MEDengineering, Ausgabe 1/2019 ( Seite 9 )

Statische Analysen für funktionale Sicherheit

Die Überprüfung der Zuverlässigkeit und Fehlerfreiheit von Systemen, die Sicherheitsfunktionen erfüllen ist besonders wichtig. Durch Normen werden strenge Vorgaben vorausgesetzt.
Um sowohl potenzielle Sicherheitslücken als auch Programmierfehler bereits bei der Entwicklung aufzudecken, bietet sich die statische Code-Analyse an. Das Tool CodeSonar von GrammaTech stellt hier eine Besonderheit der statischen Analyse dar. Selbst Embedded-Systeme können mit diesem Tool problemlos untersucht werden.
Mit CodeSonar können die Analysen außerdem direkt am Arbeitsplatz der Entwickler durchgeführt werden und Fehler können frühzeitig erkannt und behoben werden.
Markt&Technik, Ausgabe 7/2019

Real World Benchmark für statische Code Analyse Tools

(Ithaca/New York, Offenburg, 4. Februar 2019)

Software Entwickler und Qualitätsmanager, die einen Weg suchen, die Qualität ihrer statischen Analyse zu bewerten, können jetzt BugInjector nutzen. Dieses Tool kann Common Weakness Enumeration (CWE) basierte Fehlermuster in existierende Code Basen injizieren. Damit erstellt BugInjector Real-world Benchmarks, welche von GrammaTech im Auftrag des Department of Homeland Security (DHS) Science and Technology Directorate (S&T) entwickelt wurden. Diese Benchmarks sind ab sofort kostenlos auf dem Software Assurance Marketplace (SWAMP) abrufbar.
„Es gibt eine dringende Nachfrage nach Benchmarks wie die von GrammaTech, um es Software Entwicklern zu ermöglichen, statische Analyse Tools in einem wettbewerbsfähigen Umfeld bewerten zu können“, sagt Barton Miller, Informatik Professor an der Universität von Wisconsin in Madison und leitender Wissenschaftler von SWAMP. „Zudem haben Entwickler von statischen Analysewerkzeugen jetzt die Möglichkeit, ihre Werkzeuge oder neuen statischen Analysetechnologien mit Hilfe von realistischen Testfällen zu verbessern. Diese Integration der Benchmarks in die SWAMP Plattform erhöht deren Effektivität und Verfügbarkeit.“

Lesen Sie hier den vollständigen Artikel.

Stolperfalle Copy & Paste: Kopierte Fehler im Software-Code aufspüren

Auch wenn es als schlechter Stil gilt, ist Copy&Paste dennoch unter Entwicklern ein gängiges Verfahren zur Code-Wiederverwertung. Doch können dabei auch vorhandene Sicherheitslücken kopiert werden -und neue Fehler entstehen. Die statische Code-Analyse kann helfen, Bugs in kopiertem Code zu vermeiden.
Lesen Sie hier den vollständigen Artikel.
embedded-software-engineering.de - ein Angebot von Elektronikpraxis

Reverse Engineering für Embedded Software auf UML-Basis

(Offenburg/ Deutschland, 12. November 2018)

Wie lassen sich die Architekturinformationen von Binärdateien wiederherstellen? Mit einem entsprechenden Forschungsauftrag befasst sich aktuell GrammaTech – und wird dabei vom Office of the Secretary of Defense mit einer Million Dollar unterstützt.
GrammaTech selbst entstand aus einem Forschungsprojekt an der Cornell Universität – und ist heute sowohl Forschungscenter als auch kommerzieller Anbieter von Software-Assurance-Tools und Cyber-Security-Lösungen. Ziel des Forschungsauftrags ist es, die Möglichkeiten zur Architecture Recovery (Wiederherstellung von Architekturinformationen) bei binärer Software zu erforschen und eine entsprechende Lösung zu entwickeln.
UML Architecture Recovery soll in die Visualisierungsfunktionen von CodeSonar integriert werden, dem Tool zur statischen Code-Analyse von GrammaTech. Das Tool zur Codeanalyse kann auch für gängige Programmiersprachen wie C# oder in Visual Studio eingesetzt werden. Lesen Sie hier den vollständigen Artikel.

DevOps Mit Qualitätsautomatik

Der Erfolg des Continuous-Integration-Verfahrens hängt entscheidend von der Qualität der Integrations ab: Je früher Bugs erkannt werden, desto geringer ist das Risiko fehlgeschlagener Builds – und damit die Gefahr, wertvolle Ressourcen für die Fehlersuche zu vergeuden. Die statische Code-Analyse unterstützt Entwickler beim Aufspüren von Fehlern: Neben klassischen Programmierfehlern entdeckt sie auch Abweichungen von den vorgegebenen Standards. Und das weitgehend automatisch!
Lesen Sie den vollständigen Artikel hier.
Faszination Elektronik, 30. Oktober 2018

Schluss mit Buffer Overruns

In so gut wie jeder Software sind Buffer Overruns im Überfluss vorhanden, sowohl im Enterprise- als auch im Embedded-Bereich. Daraus ergeben sich ernsthafte Sicherheitsprobleme. Denn jedes System ist nur so sicher wie sein schwächstes Element. Dieses zentrale Einfallstor für Angreifer muss geschlossen werden. Dafür sind neue Ansätze erforderlich.
Lesen Sie den vollständigen Artikel hier.
Faszination Elektronik, 17. Oktober 2018

GrammaTech veröffentlicht CodeSonar 5

In der neuen Version unterstützt CodeSonar neben C und C++ sowie Java auch die Programmiersprache C#-Code. Die statische Code-Analyse erkennt dabei sowohl Sicherheitslücken als auch Abweichungen von gängigen Programmierstandards. CodeSonar 5 soll zudem verbesserten Support von C++ 11, 14 und 17 sowie Gleitkommaunterstützung oder rollenbasierte Zugriffsverwaltung zur besseren Nutzbarkeit in großen Installationen bieten.
Lesen Sie den vollständigen Artikel hier.
DevInsider, 24. August 2018

C-Dekompilierer für CodeSonar 5

Um die statische Code-Analyse von Binärcode effizienter zu machen, erweitert GrammaTech den Scanner CodeSonar 5 um einen C-Decompiler. Zielsetzung war eine bessere Lesbarkeit des untersuchten Codes.
Mit CodeSonar 5 lässt sich Code auch dann auf Schwachstellen hin analysieren, wenn er nur binär und ohne Debugging-Informationen vorliegt. Dieses Problem ergibt sich häufig bei Embedded-Software, wie sie in Industrie-Controllern, Point-of-Sale-Systemen oder IoT-Geräten zum Einsatz kommt.
Lesen Sie den vollständigen Artikel hier.
DevInsider, 16. August 2018

Mit statischer Code-Analyse Performance-Flaschenhälse finden

Viele Performance-Probleme können bereits in einer sehr frühen Phase des Software Development Lifecycles gefunden werden. Je früher ein Flaschenhals erkannt wird, desto einfacher und billiger kann er auch beseitigt werden. Dazu eignet sich eine Methode, die eigentlich in jedem Entwicklungsteam vorhanden sein sollte: Die statische Code-Analyse.
Innerhalb der Software-Entwicklung spielt die Qualitätssicherung eine immer größere Rolle. Zurecht, denn mit der steigenden Kritikalität von Software – nicht zuletzt im Embedded-Bereich – müssen die funktionalen und nicht-funktionalen Anforderungen sowie die Sicherheit der Systeme auf hohem Niveau gewährleistet werden. Neben dem Testing hat sich die statische Code-Analyse als Methode etabliert, Fehler oder Abweichungen von Programmierstandards oder -richtlinien aufzuspüren.
Lesen Sie den vollständigen Artikel hier.
Elektronikpraxis, 28. Juni 2018

Sicherheitslücke im Linux-Tool beep als Einfallstor ins System

Embedded-Software Engineer, Mai 2018

Schadcode dringt nicht nur über bekannte Programme in ein System ein. Ein kleines Schlupfloch wie der aktuelle Bug im Linux-Tool beep.c reicht aus. Solche Sicherheitslücken laufen oft unter dem Testing-Radar hindurch, lassen sich aber durchaus aufspüren.
Bei beep.c wurde der Fehler durch Analyse des statischen Analysetools GrammaTech CodeSonar aufgezeigt.
Lesen Sie den vollständigen Artikel hier.

Selbstheilende Software - Spectre: Den Datenklau verhindern

Durch einen schwerwiegenden Fehler im Prozessordesign erlauben die meisten CPUs Angriffe auf sensible Daten.
Spectre und Meltdown, wie die beiden Angriffsvektoren genannt werden, sind aktuell kaum abzuwehren. Allerdings gibt es neue Ansätze, wie Software automatisch gegen neue Angriffe geschützt werden kann. Damit ist es zumindest möglich, eines der drei Einfallstore für Spectre und Meltdown zu schließen.
Und das, ohne den Quellcode verändern und neu kompilieren zu müssen. ...
Faszination Elektronik, Ausgabe 3/2018

Statische Analyse as a Service

CodeSonar 4.5 von GrammaTech bietet neben zahlreichen Verbesserungen mit dem Software Assurance Service auch statische Analyse "as a Service", also statische Analyse als Vor-Ort-Service. Erfahrene Berater von GrammaTech kümmern sich um die Abläufe und Prozesse der statischen Analyse. So können sich die Kunden vollständig und effizienter auf die Beseitigung gefundener Fehler konzentrieren.
Um die Sicherheit innerhalb des Software Development Lifecycles (SDLC) zu verbessern, bietet CodeSonar zahlreiche neue Funktionen. So verfügt Version 4.5 nun über APIs für Python und C++, mit denen die Entwicklungsteams schnell eigene Checks implementieren können, um ihre spezifischen Designvarianten in CodeSonar abzubilden. Zudem wurde mit dem neuen Release eine weitere API für die schnelle Unterstützung neuer Compilern eingeführt und die Gleitkommaunterstützung verbessert.
Elektronikpraxis, 20. Februar 2018

Fünf Faktoren für sichere Software

Mit dem Internet of Things explodiert die Zahl der Internet-fähigen Geräte. Und damit auch die Möglichkeit für Cyberkriminelle, diese Devices als Angriffsvektoren zu nutzen. Entwickler und Hersteller sind damit gefordert, an ihren Code und ihre Produkte deutlich strengere Sicherheitsanforderungen zu stellen als bislang. Dabei spielen fünf Aspekte eine wichtige Rolle.
... Auch wenn die Beispiele aus der Medizintechnik eine besondere Nutzung des IoT darstellen, wird deutlich: An IoT-Geräte müssen andere Maßstäbe angelegt werden als an herkömmliche Clients. ...
Markt&Technik, Ausgabe 50/2017

Statische Analyse erweitert: Grammatech setzt auf Sicherheit und Services

Der neue Release 4.5 von Grammtechs CodeSonar unterstützt Rapid-Development-Umgebungen, neue Code-Checkers zur Abwehr von Cyber-Kriminalität, verbesserte Gleitkommaunterstützung und den Software Assurance Service.
Für Software-Teams, die die Sicherheit innerhalb des Software Development Lifecycles (SDLC) verbessern wollen, bietet CodeSonar 4.5 zahlreiche neue Funktionen. So verfügt CodeSonar nun zum Beispiel über APIs für Python und C++, mit denen die Entwicklungsteams schnell eigene Checks implementieren können, um spezifische Designvarianten in CodeSonar abzubilden.
IoT Design, Ausgabe 01/2018

Binär-Code-Kontrolle ist besser

In der Software-Entwicklung kommt immer mehr Code von Dritten zum Einsatz. [...] Innerhalb der Software-Supply-Chain entsteht dadurch ein unwägbares Risiko. Ist der Code aus externen Quellen sicher und entspricht er den Standards der eigenen Entwicklungsabteilung? Blindes Vertrauen auf Zulieferer ist hierbei fehl am Platz. Denn gerade Binärcode kann zahlreiche Sicherheitslücken oder schlichte Programmierfehler aufweisen, die ohne geeignete Tools kaum zu finden sind. Der Einsatz von statische Analyse bei Binär-Code hilft also dabei, eine hohe Software-Qualität auch dann sicherzustellen, wenn Komponenten Dritter in die Anwendung mit einfließen.
Denn Vertrauen ist gut, Code-Analyse ist besser.
Markt&Technik, Ausgabe 44/2017

Binärcode-Analyse: Software-Qualität in fremden Händen

Zahlreiche Geräteentwickler kaufen die Embedded Software für ihr Industrie- oder IoT-Gerät von Drittanbietern zu. Doch wie ist zu gewährleisten, dass Code aus Händen Dritter zuverlässig und sicher ist? Vertrauen ist die Mutter der Sorglosigkeit – Dieses Bonmot des spanischen Schriftstellers Baltasar Gracián y Morales aus dem 17. Jahrhundert gilt auch bei der Software-Entwicklung. Die Sorglosigkeit, wie in den vergangenen Jahren Software in vielen Bereichen entwickelt wurde, ist heute kaum mehr akzeptabel. Denn mit der digitalen Transformation, die aktuell abläuft, nimmt Software eine grundsätzlich andere Stellung ein als bisher. Sie wird die kritische Basis für physikalischen Produkte, für Dienstleistungen und für Geschäftsmodelle. Dabei nimmt Embedded Software als unverzichtbare Grundlage des Internet of Things eine besonders dominante Rolle ein..
embedded-software-engineering.de, 05. September 2017

Software - Forensik: Code zerpflückt

Wenn sich eine Katastrophe ereignet, deren Ursache in der Software liegt, dann beginnt die Spurensuche: Woran hat´s gelegen? Nun kann man sich den Code entweder händisch vorknöpfen oder Hilfsmittel zu Rate ziehen, deren Anwendung übrigens auch sinnvoll ist, schon bevor etwas passiert.
...Gegenwärtig findet Software-Forensik so statt, dass der Quell- und Binärcode minutiös manuell untersucht wird. Das Aufdecken von Fehlern oder Manipulationsspuren ist schwierig und zeitraubend. Hier können automatisierte Tools Zeit und Geld sparen. ...
...Fortschrittliche Statische-Analsye-Tools können Sicherheitslücken im Code automatisch detektieren. Die Tainted-Data-Analyse geht noch einen Schritt weiter: Mit ihr lässt sich feststellen, ob von außen kommender Input genutzt werden kann, um aus einer Schwachstelle eine echte Sicherheitsbedrohung zu machen. ... Elektroniknet.de, 07. Juli 2017

GrammaTech verkündet Integration von CodeSonar in Wind River Workbench zur Verbesserung der Qualität und zum Schutz von IoT-Geräten

(Ithaca/New York, Offenburg, 15. Mai 2017)
Dank dieser Integration können Entwickler Softwareanfälligkeiten innerhalb der Workbench beheben und so die Produktivität signifikant erhöhen. Das ursprüngliche Wind River VxWorks Betriebssystem wird ebenso gut unterstützt wie POSIX API, CodeSonar stellt dabei eine hilfreiche Erweiterung dar. Es bietet die Fähigkeit Sicherheits- und Qualitätsprobleme zu finden, speziell im Bereich der Multi-Core Entwicklungen. Das Programm identifiziert Bugs, welche zu Systemabstürzen führen können oder Sicheitslücken hervorbringen, was zum markenschädigenden Problem werden kann. Die Integration macht aus CodeSonar und der Wind River Workbench eine ideale Einheit zur Softwareoptimierung.
Hier vollständigen Text lesen oder Video ansehen.

Wie verwundbar sind Sie? Lücken im Code effektiv ermitteln

Dieser Artikel beschreibt eine Methode, wie man Schwachstellen in der Software verstehen und die statische Analyse als Teil eines kontinuierlichen Verbesserungsprozesses nutzen kann.
Die Wahrscheinlichkeit dafür, dass ein Gerät Opfer einer Cyber-Attacke wird, hängt von den potenziellen Auswirkungen einer Attacke ebenso ab, wie davon, ob ein solcher Angriff möglich ist. Also nimmt man eine Beurteilung der Bedrohungslage vor, um ein Bedrohungsmodell zu erstellen und die Angriffsoberfläche zu ermitteln. Zu betrachten sind hierfür die Motivationen und Absichten potenzieller Angriffe ebenso wie die Wege, über die sie das System angreifen, und die Wahrscheinlichkeit für erfolgreiche Attacken.
Elektronikpraxis, Sonderausgabe 05/2017

Industrie 4.0 // Softwareentwicklung für das IIoT

Systeme des industriellen Internet of Things (IIoT) stellen spezielle Anforderungen an die Softwareentwicklung. Der Artikel zeigt auf drei Seiten die Aufgaben und die Rolle von Tools wie der statischen Analyse auf.
SCADA-Systeme (Supervisory Control And Data Acquisition), die das Kernstück der meisten industriellen Systeme bilden, arbeiten unter extremen Bedingungen, steuern kritische Infrastrukturen und müssen strikte Sicherheitsstandards einhalten....
Elektronikpraxis.de, 18. April 2017

„Die meisten kennen die Herausforderungen, realisieren aber nicht, wie sehr sie davon betroffen sind“ - Interview mit Mark Hermeling

Die meisten Unternehmen kennen mittlerweile die Herausforderungen, die das Thema Security bei der Umsetzung von IoT-Anwendungen mit sich bringt. Dennoch realisieren sie nicht immer, wie sehr sie davon betroffen sind, meint Mark Hermeling, Senior Director Product Markting beim amerikanischen Security-Spezialisten GrammaTech und Industry of Things-Experte.
In diesem Interview spricht er über den aktuellen Stand zum Thema "Internet der Dinge" und die damit verbundenen Probleme. Weiterhin beschäftigt er sich mit den Hürden der Implementierung, den größten Herausforderungen für die Branche und den Security-Risiken für deutsche Unternehmen.
Industry-Of-Things.de, 06. April 2017

Insider-Attacken und statische Analyse

Angriffe erkennen mit Hilfe von neuen Analysen; Security ist sowohl für das Internet der Dinge, als auch für Industrie 4.0 ein Schlüsselfaktor. Methoden der statischen Code-Analyse sind dabei ein wichtiges Hilfsmittel, um sogar Insider-Attacken aufzuspüren und die eigenen Anwendungen zu schützen.
Wie lassen sich Insider-Attacken aufdecken? Wie lassen sich Laufwege verfälschter Daten analysieren und visualisieren? Welche binären Analysen zum Aufdecken der Attacken gibt es? In diesem Artikel widmet sich Dr. Paul Anderson all diesen Fragen und den wichtigsten Punkten zum Thema.
All-Electronics.de, 06. April 2017

Can software development be more secure with static analysis?

The longer answer to the question "when should static analysis be applied?" is "a part of structured and secure development process". Static analysis is an important part of a modern software development tool suite which, when applied correctly and sufficiently early, can have significant impact on code quality, security and safety.
Perhaps the most relevant point is the role static analysis plays in a security-first software design, which is critical in today´s connected and complex operating environment..... Electronicsweekly.com, 05. April 2017

Addressing IoT impact on software engineering

(By Bill Graham, GrammaTech)
Manufacturers need to carefully evaluate the cyber threats and the level of exposure of IoT devices. New levels of software integrity can only be achieved if teams can eliminate both accidental coding errors and intentional design-in vulnerabilities, through efficient analysis techniques suitable for the typical highly complex applications of today.
Powered by the forces of the cloud, connected endpoints, wireless technologies, and big data, the Internet of Things (IoT) evolution is forming a perfect storm for software engineering teams. This single, transformative force is bigger than anything in the history of tech industry, fueling an unparalleled consumer- oriented features race, expected to advance at an incredible rate over the next decade. ...
boards & solutions + ECE March 2017 (PDF)

Grammatech sichert Code ab

Der Codeanalyse-Spezialist GrammaTech stellt auf der diesjährigen Fachmesse embedded world die aktuelle Version 4.5 des Flaggschiffprodukts CodeSonar vor. Mit Funktionen wie Schwachstellenanalyse, Binary Patching und Software Monitoring spielt es eine Schlüsselrolle für die Absicherung von Softwareprogrammen.
CodeSonar 4.5 adressiert Kunden mit Fokus auf Sicherheit und Schutz. Ihnen bietet das Tool zusätzliche Integrationsfunktionen einschließlich Microsoft Visual Studio und erhöhten Support für C++ 14. Neu ist auch ein Management-Dashboard als Grundlage, um technisch nicht versierten QA-, Entwicklungs- und Produktmanagern ein tieferes Verständnis für Softwarerisiken zu vermitteln.
Elektronik Praxis, Ausgabe 4/2017

Mehr Sicherheit in einer zunehmend vernetzten Welt

Weltweit steigt die Vernetzung und Abhängigkeit von Software ständig. Vernetzte Geräte bieten viele Angriffsflächen für Cyberattacken, die stark ansteigen in punkto Anzahl, Art und Auswirkungen. Es ist also hächste Zeit für Gerätehersteller, ihre Software-Sicherheit zu erhöhen.
GrammaTech unterstützt Unternehmen bei der Lösung der heikelsten Softwareprobleme und der Absicherung von unternehmenskritischen, embedded Geraäten vor Fehlfunktionen und Cyberangriffen. ...
Das Flaggschiffprodukt CodeSonar bietet die bislang tiefste statische Analyse und findet mehr kritische Fehler als andere verfügbare statische Analysetools. Mit CodeSonar können Teams ganze Anwendungen analysieren, die Software-Supply-Chain kontrollieren und die teuersten und am schwersten auffindbaren Fehler schon früh im Lebenszyklus einer Applikationsentwicklung elimieren.
E&E Faszination Elektronik, Das Kompendium, Ausgabe 2017 hier bestellen

Statische Codeanalyse prüft Softwaresicherheit

Fehlerhafte Software in medizinischen Geräten führt im schlimmsten Fall dazu, dass Patientensterben. Neben verbesserter Software sollen Verifikationsprozesse und statische Codeanalyse helfen.
... Innerhalb der letzten 10 Jahre haben sich die Rückrufe von fehlerhaften Medizingeräten beinahe verdoppelt: Vor allem wegen eines fehlerhaften Geräts mit hinreichender Wahrscheinlichkeit für Todesfall. So registrierte die Federal Drug Administration (FDA) der USA von 2005 bis 2009 über 56.000 Probleme und 710 Todesfälle im Zusammenhang mit Infusionspumpen an die FDA.
... die "Infusion-Pump-Improvement-Initiative" ... empfiehlt die statische Codeanalyse, um die gefährlichsten Fehlertypen und Sicherheitsrisiken aufzuspüren. ...
Elektronik Praxis, 2. November 2016 (ab Seite 84)

Statische Analyse bei Fahrerassistenzsystemen: Schneller entwickeln, weniger Risiko

Advanced Driver Assistance Systems sollen helfen, Autounfälle zu verhindern. Das können sie nur, wenn sie die Anforderungen von ISO 26262 an Design und Entwicklung von Sicherheitsfunktionen in Fahrzeugen erfüllen. Was gilt es bei der Entwicklung zu beachten?
... Ein qualifiziertes Statische-Analyse-Werkzeug als Teil des Software-Entwicklungsprozesses eröffnet Vorteile schon im frühen Entwicklungsstatium:
- Durchsetzen von Programmier-Standards für Safety, Security und Stil ...
- Weniger Fehler bei der Entwicklung ...
- Auffinden schwerer Fehler, die das Testen umgehen ...
- Analyse von veraltetem und Third-Party Code ...
- Schnellerer Zertifizierungsnachweis ...
Um den Nutzen von Statische-Analyse-Werkzeugen nachzuvollziehen, ist es hilfreich zu verstehen, wie Fehler in Programme gelangen und wie diese gefunden und behoben werden ...
Elektronik automotive, 8/9. September 2016 (hier bestellen)

Cyber-Bedrohungen entdecken: Statische Analyse schützt SCADA-Systeme

Programme enthalten Code, der seine vorgesehene Arbeit erledigt, jedoch einen Angriffspunkt für Hacker bietet. Bei der Ermittlung dieser Schwachstellen hilft eine statische Codeanalyse wie sie Grammatech anbietet. Die Anzahl an Cyber-Attacken steigt exponentiell und mit ihr auch die Kosten, die durch Ausfälle entstehen. Daher müssen die Planer von SCADA-Systemen (Supervisory Control And Data Acquisition) alle Sicherheitsaspekte beachten.
Elektroniknet.de, 20. Juli 2016

Sicherheitskritische Software bezahlbar

Software wird in immer stärkerem Maße für sicherheitskritische Aufgaben eingesetzt. Während die Entwicklungskosten pro Codezeile gleich bleiben, steigt der Umfang des Codes exponentiell an. Genau wie der Code steigen auch die Kosten durch Fehler exponentiell an. Mit geeigneten Entwicklungswerkzeugen lässt sich das Dilemma aber lösen.
Elektroniknet.de, 21. Juni 2016

Codefehler schneller finden

Wachsende Komplexität, Zeitdruck, Vernetzung oder Integration fremder Programme sorgen dafür, dass die Anforderungen an Entwickler von Embedded Software ständig steigen. Aufgrund dessen entstehen immer mehr Fehlerquellen. Dank statischer Analysetools ist es möglich Probleme frühzeitig auszurämen und teuere Nachbesserungen zu vermeiden.
E&E Ausgabe 5, Juni 2016

Embedded Automotive und MISRA C

Bei der Entwicklung von embedded Software für Fahrzeuge ist C immer noch die populärste Programmiersprache - aber C-Programme sind anfällig für ernste Speicherzugriffsfehler. MISRA C empfiehlt den Einsatz eines automatisierten statischen Analysetools, um Verletzungen des Standards aufzuspüren. Allerdings sind nicht alle Tools gleich gestaltet und einige können nur über oberflächliche syntaktische Eigenschaften des Codes Schlussfolgerungen ziehen. Anspruchsvollere Tools wie CodeSonar bieten fundierte semantische Kenntnisse des gesamten Programms.
Elektronik Praxis, 19. April 2016

Entwicklungswerkzeug: CodeSonar 4.1 zertifiziert

Die SGS TÜV Saar GmbH stufte CodeSonar 4.1 von Grammatech als zertifizierbar nach den internationalen Standards ISO 26262, IEC 61508 und EN 50129 ein, die die funktionale Sicherheit von Elektronik innerhalb von Industrieanwendungen, Automotive Systems, Medizingeräten und Bahnanwendungen definieren.
Derzeit unterstützt CodeSonar die Einhaltung folgender Normen: MISRA C:2004 und 2012, ISO 26262, DO 178B, DISA STIG, FDA, MITRE CWE, NASA-JPL-Regeln und U.S. CERT Build Security In (BSI).
Elektroniknet.de, 30. März 2016

Sicherheitslücken aufdecken: Binäranalyse für ARM

GrammaTech erweitert die statische Analyse-Engine von CodeSonar für ARM-Prozessoren um eine Binäranalyse. Damit vereinfacht sich die Untersuchung von Anwendungssoftware, Middleware und Firmware. In der wachsenden IoT-Welt, in der eingesetzte Geräte immer mehr Cyberangriffen ausgesetzt sind, wird die Analyse von Maschinencode besonders wichtig.
Elektroniknet.de, 3. März 2016

Codeanalyse: GrammaTech erweitert CodeSonar und bietet IoT-Trainings an

GrammaTech, Spezialist für die Qualitätssicherung in der Softwareentwicklung, hat die Version 4.2 seines statischen Codeanalyse-Tools CodeSonar fertiggestellt. Das Werkzeug zielt auf Unternehmen in der Automobilbranche, Medizintechnik, Elektronik, Industrie und weiteren Branchen.
CodeSonar 4.2 ist laut Hersteller das einzige kommerzielle statische Analyse-Tool mit Binärcodeanalyse, das Plattformkompatibilität zur 64-bit-Intel- und auch zur ARM-Mikroprozessorfamilie bietet ...
Elektronik Praxis Ausgabe 4/2016

Weniger Softwarefehler dank statischer Analyse

Die Entwicklung von Embedded Software für sicherheitskritische Kfz-Anwendungen verlangt einen rigorosen Ansatz. Die meisten Branchen mit sicherheitskritischen Anforderungen setzen auf die Vorteile der statischen Analyse. Auch MISRA-C-Richtlinien empfehlen ausdrücklich den Einsatz von automatisierten Tools zur statischen Analyse, um Verletzungen des Standards aufzudecken.
Hanser automotive Ausgabe 1-2/2016

Einblick in die statische Code-Analyse: Auf verschlungenen Pfaden

(von Dr. Paul Anderson, GrammaTech)
Statische Code-Analyse ist ein wichtiges Hilfsmittel, um Software-Qualität zu sichern. Schon bei einfachen Programmen ist die Zahl der Programmzustände schier unüberblickbar. Kein Analyse-Tool kann alle Zustände lückenlos analysieren. Die Nutzer müssen deshalb die Arbeitsweise dieser Tools kennen und die Analyseparameter passend abstimmen.
... Die Werkzeuge der ersten Generationen wie Lint und dessen Nachfolger arbeiten mit oberflächlichen Techniken, um recht einfache Probleme ... zu finden. Die Tools der neuesten Generation ... nutzen deutlich ausgefeiltere Techniken. Sie können alle Probleme finden, die für die frühen Werkzeuge auffindbar waren, und dazu entdecken sie auch versteckte Programmierfehler, die anderweitig schwer zu erkennen sind. ...
Design & Elektronik

The needed impact of the IoT on software engineering

(By Marc Brown, GrammaTech)
The Internet of Things is a paradigm impacting our daily life for good or bad. IoT software needs security by design, therefore it is a business imperative. Manufacturers must evaluate the cyber threats and level of exposure of IoT devices, implementing all necessary design checks and countermeasures against the accelerating set of menaces. ... Fortunately, static analysis tools for source and binary have the ability to detect vulnerabilities before products are shipped, dramatically reducing security threats and corporate exposures that cost organizations several millions of dollars. ...
boards & solutions + ECE October 2015 (PDF) (from page 14 onwarsd)

GrammaTech verdoppelt Cyber-Security-Forschung

GrammaTech kündigt eine neue Forschungsinitiative an, um mithilfe von jüngsten Fortschritten bei Hard- und Software die Sicherheit eines Systems zu steigern. Dieses Projekt wird von der DARPA (Defense Advanced Research Projects Agency) unter dem Cyber-Fault-Tolerant Attack Recovery (CFAR) Programm gefördert, und ist Teil umfassender Bemühungen von GrammaTech, um effiziente automatisierte Abwehrmaßnahmen gegen alle Arten von Cyber-Angriffen zu entwickeln. ... Der neueste Vertrag kombiniert fortschrittliche Binäranalyse und Transformationstechnologie mit neuen Verfahren der Diversifizierung von Binärdaten. ... Mit der daraus entstehenden Technologie soll ein System verstehen können, wenn eines seiner Programmvarianten beeinträchtigt wrude.
Embedded Design Ausgabe 5/2015

Statische Codeanalyse: Rettende Software

Rückrufe von medizinischen Geräten sind nicht ungewöhnlich. Einer der wichtigsten Gründe dafür ist fehlerhafte Software. Laut der US-amerikanischen Aufsichtsbehörde FDA beruhen vier von zehn Ausfällen von Medizingeräten auf einem Softwareproblem. Darum empfiehlt sie den Einsatz von statischen Analysetools, um Softwarefehler bereits in der Entwicklung auszumerzen. ...
MEDIZIN + elektronik , Ausgabe 2/2015

Code-Analyse verbessert

GrammaTech präsentiert die weiterentwickelte Version 4.1 der Code-Analyse-Software CodeSonar. Neuerungen sind beispielsweise die 64-bit-Binäranalyse, die verteilte Analyse sowie eine verfeinerte Tainted-Datenanalyse. Firmenangaben zufolge bietet die Software die Binäranalyse mit Plattformkompatibilität zur 64-bit-Intel-Mikorprozessor-Familie als derzeit einziges statisches Analysetool. Zudem kann das Tool die statische Analyse über eine Vielzahl an heterogenen Rechnern verteilen. Diese Fähigkeit beschleunigt zum einen die Analysegeschwindigkeit, zum anderen erhalten Entwickler die Flexibilität, dei Intensität der Analyse zu steigern, um mehr Fehler aufzudecken.
Computer & Automation, Ausgabe 6/2015

Komplexität beim embedded Software Design: "Best Practises" für statische Analysetools

Embedded Entwickler stehen unter größerem täglichen Druck als Programmierer in anderen Industrien ... Außer Haus produzierter Code birgt besondere Risiken ... C und C++, die gängigen Sprachen für embedded Software, beinhalten besondere Risiken ... Unabhängig davon, welchen Code embedded Entwicklungsteams schreiben, ist eine Fehleridentifizierung zu einem frühen Zeitpunkt wertvoll ... Der Trend zur Vernetzung von embedded Systemen vergrößert die potenziellen Angriffsflächen für Hacker ... Das Programmieren von Multithreaded Anwendungen ist äußerst komplex und ermöglichst schwer auffindbare Fehler ... Nur mit den fortschrittlichsten statischen Analysetools können Sie die Herausforderungen durch neue regulatorische Normen erfüllen ...
Embedded Design Ausgabe 4/2015

Mehr Qualität und Sicherheit: Code-Analyse auch für Binaries

Grammatech erweitert sein Code-Analyse-Tool "CodeSonar" in der Version 4.1 um verteilte Analysefä,higkeiten, eine noch tiefer gehende Tainted-Data-Analyse und Binäranalyse-Support für x64-Prozessoren. Diese Neuerungen helfen Entwicklern beim Programmieren von stabileren und sichererem Code für die Internet-of-things-Ära, in der immer mehr Softwaresysteme auf manchmal unberechenbare und oft unsichere Art vernetzbar sind. "Embedded Systeme brauchen besseren Schutz vor Cyberangriffen und Qualitätseinbrüchen" ...
Markt & Technik, Ausgabe 12/2015

Codeanalyse: Grammatech steigt ins Internet der Dinge ein

Die Version 4.1 des Analysewerkzeugs CodeSonar von Grammatech widmet sich den Anforderungen von Embedded-Software, die mit dem Internet der Dinge kommuniziert. Die Analyse potenziell unsicherer Daten sowie von kompilierten Binärdateien soll die Betriebssicherheit verbessern helfen.
"Embedded Systeme brauchen besseren Schutz vor Cyber-Angriffen und Qualitätseinbrüchen", betont Dr. Paul Anderson, Vice President Engineering bei GrammaTech. "Mit den Features von CodeSonar 4.1 stoßen Entwickler einfacher auf Fehler, die tief in Codebasen vergraben oder in Fremdcode versteckt sind." ...
Elektronik Praxis, 2. März 2015

CodeSonar 4.1 soll Qualität und Sicherheit von Embedded-Software fürs Internet of Things bringen

GrammaTech, Hersteller von Tools zur Entwicklung von Embedded-Software, hat die Version 4.1 der Codeanalyse-Software CodeSonar angekündigt. Das Werkzeug für C/C++- und Java-Entwickler prüft sowohl Quell- als auch Binärcode, um Sicherheits- und Qualitätsfaktoren zu identifizieren, die zu Systemabstürzen, Speicherfehlern, Data Races und anderen unerwarteten Schwachstellen führen können. Mit der Summe der Neuerungen in CodeSonar 4.1 will GrammaTech Entwicklern beim Programmieren stabileren und sichereren Codes für Systeme des Internet der Dinge helfen. ...
heise Developer, 2. März 2015

Analysewerkzeuge: Code-Prüfung erfolgt über diverse heterogene Rechner

Die Version 4.1 der Codeanalyse-Software CodeSonar von Grammatech spricht Unternehmen an, die sich weder Fehler noch Schwachstellen in ihrem Code leisten können. Die überarbeitete Softwareversion erlaubt es, die statische Code-Analyse über eine Vielzahl an heterogenen Rechnern verteilen. Diese Fähigkeit beschleunigt die Analysegeschwindigkeit erheblich. Zugleich erhalten Entwickler die Flexibilität, die Intensität der Analyse zu steigern, um mehr Fehler aufzudecken. ...
Elektronik Praxis, 4. Februar 2015

Statische Analyse mit 64-bit Binäranalyse und mit Prüfung auf Tainted-Buffer-Zugriffe

Auf der embedded world präsentiert GrammaTech Version 4.1 seiner Codeanalyse-Software CodeSonar. ... Das statische Analysetool bietet Binäranalyse mit Plattformkompatibilität zur 64-bit Intel Mikroprozessor-Familie. In der aktuellen Version erlaubt das Programm die statische Analyse über diverse heterogene Rechner. Diese Fähigkeit beschleunigt die Analysegeschwindigkeit nach Anbieterangaben erheblich; zugleich erhalten Entwickler die Flexibilität, die Intensität der Analyse zu steigern, um mehr Fehler aufzudecken. Das Unternehmen hat die Genauigkeit seiner Taint-Analyse wesentlich erhöht und darüber eine komplett neue Prüfung auf Tainted-Buffer-Zugriffe eingeführt. Mit den Algorithmen der Taint-Analyse gestattet die Lösung auch indirekte Funktionsaufrufe genauer zu untersuchen.
Embedded Design Ausgabe 2/2015

Code-Coverage für sicherheitskritische Software

Neben »CodeSonar« von GrammaTech, einem Werkzeug für die statische Codeanalyse, stellt Verifysoft in Nürnberg »Testwell CTC++« vor. Das Tool zeigt die Testabdeckung für alle Code-Coverage-Stufen bis zur Modified-Condition-Coverage (inkl. MC/DC-Coverage) und arbeitet mit allen Compilern und zeigt die Code-Abdeckug auf allen - selbst kleinsten - Embedded Target und Mikrocontrollern an. Die Zertifizierung sicherheitskritischer Software nach den Normen DO-178C, EN 50128, IEC 61508 und ISO 26262 wird jetzt durch die Anwendung des Qualification-Kits für "Testwell CTC++" vereinfacht. (rh)
Design & Elektronik Ausgabe 1/2015

Codeanalyse

Auf der embedded world präsentiert GrammaTech die weiterentwickelte Version 4.1 seiner Codeanalyse-Software »CodeSonar«. Sie unterstützt die Binäranalyse mit Plattformkompatibilität zu Intels 64-Bit-Prozessoren. In der aktuellen Version kann die Analyse über mehrere heterogene Rechner verteilt werden, außerdem wurde die Genauigkeit der Taint-Analyse erhöht. (mc)
Design & Elektronik Ausgabe 1/2015

Sicherheitslücke Poodle: Unterschied zwischen Design- und Code-Fehlern

... Mit CodeSonar können beispielsweise eigene Prüfprogramme für benutzerdefinierte Eigenschaften geschrieben werden. Zur Erleichterung lassen sich prozessübergreifende, pfadsensible Algorithmen zur Programmuntersuchung für das gesamte Programm nutzen. Das macht auch das Schreiben von sehr komplexen Anfragen relativ einfach. Der Poodle Bug ist ein ausgezeichnetes Beispiel dafür, warum die Entwicklung und Übernahme von formalen Methoden für die Industrie so bedeutend ist. GrammaTech findet es wichtig, dass sich die Industrie in diese Richtung bewegt. Das Unternemen führt zahlreiche von der NASA, der National Science Foundation und der U.S. Navy finanzierte Forschungsprojekte durch und arbeitet an den geeigneten Werkzeugen für die Entwicklung der Spezifikationen und der Verwaltung von deren Beziehungen zum Code.
Embedded Design Ausgabe 1/2015

ESE 2014 Verifysoft zeigt Tools für Code Coverage und statische Software-Analyse

Höhere Softwarequalität bei geringeren Entwicklungskosten hat sich Verifysoft als Ziel für seine Kunden auf die Fahnen geschrieben. Auf dem ESE Kongress stellte der Spezialist und Distributor für Softwaretest und -Analyse Testwell CTC++ für C, C++, Java, C# sowie den GrammaTech CodeSonar vor.
Elektronik Praxis , 9. Dezember 2014

Sicherheit von Embedded Automotive Software: Schnittstellen erhöhen das Risiko

Ob CD-Spieler oder USB-Schnittstelle - ein modernes Auto besitzt viele Angriffspunkte für Hacker. Der Breite Einsatz der Programmiersprache C vergrößert das Risiko noch. Deutlich mehr Sicherheit bietet der Wechsel zu MISRA-C oder MISRA-C++ in Verbindung mit einem modernen Statische-Analyse-Tool. ... (von Dr. Paul Anderson, GrammaTech)
Elektronik automotive 12/2014 Dezember 2014

Schutz vor faulen Daten

Das englische "Taint" steht für einen Makel - und das im doppelten Sinn: Es kann sowohl Fehlerhaftigkeit als auch moralische Verderblichkeit bedeuten. Genauso ist es mit Angriffen auf Embedded-Systeme: Es werden die Systeme mit manipulierten Daten so gefüttert, dass Fehler provoziert werden. Dann bricht sich die kriminelle Energie Bahn, indem Angreifer die Kontrolle über das System übernehmen. Deshalb ist es wichtig, die Angriffspunkte zu kennen und die Wege, die fehlerhafte - "tainted" - Daten nehmen können. ... (von Dr. Paul Anderson, GrammaTech)
Elektronik 24/2014 November 2014

Sicherheit von Embedded Automotive Software

Die Produktunterscheidungsmerkmale in Bezug auf Automobilherstellung verlagern sich weiterhin von rein mechanischen hin zu einer Mischung aus mechanischen und Software-basierten Funktionen. Bereits heute wächst der Wettbewerb zwischen Herstellern, die sich auf die Intelligenz ihrer Fahrzeuge konzentrieren, und moderne Software-basierte Eigenschaften rücken im Automobil-Marketing immer mehr in den Fokus. Der Wettbewerb nach qualitativ hochwertiger Automotive Software wird sich in Zukunft noch verschärfen.
Springer Professional, 1. November 2014

Setting the Standard for Medical Device Software

Developers of medical devices face the challenge of creating safety-critical software for applications where human lives are at risk. ...
... Use of an advanced static analysis tool will ensure that coding standards have been properly implemented and should be used whenever new code is checked in and routinely at every software build. Using these protices developers of medical devices can rest assured they are doing everything possible to deliver high quality safety-critical code that will help save lives.
by Paul Anderson, Vice President of Engineering at GrammaTech
Electronics World, October 2014

So spüren Sie Schadsoftware in Entwicklungssystemen auf

Mit der Funktionalität von Software steigt das Risiko für Programmierfehler, die zu Sicherheitslücken in Embedded-Systemen führen können. Gefährdet sind vor allem Systeme mit Code verschiedener Anbieter. Die Taint-Analyse-Technik legt offen, wie gefährliche Daten von einem Programmteil zum nächsten fließen und Sicherheitsprobleme auslösen.
Elektronik Praxis, 13. Oktober 2014

Mehr Qualität durch statische Binary- und Sourcecode-Analyse im Mixed-Mode

Software wird zunehmend komplexer und erfordert damit den Einsatz effizienter Testwerkzeuge. Besonders kritisch sind Binärkomponenten, da oft nicht bekannt ist, ob diese unter ähnlich strengen Qualitätsmaßstäben erstellt wurden wie sie für den Rest der Applikation gefordert sind. Neben möglichen Fehlern in der Binärkomponente selbst, können im Verbund Fehlfunktionen durch eine falsche Verwendung der Schnittstellen auftreten. Mittels intelligenter Verbindung von statischer Binary- und Sourcecodeanalyse, begegnet CodeSonar Edition 4.0 GrammaTech diesen Problemen.
PC & Industrie, Ausgabe 8/2014 Jg.18

Embedded-Software-Design: Leifaden zu Statischer Analyse

Embedded-Entwickler stehen unter größerem Druck als Programmierer in anderen Industrien, während die meisten Entwicklungsteams von weniger Komplexität dank Cloud-basierter, homogener Hardware und Visualisierung profitieren, sieht es bei Embedded-Spezialisten ganz anders aus: Sie müssen Anwendungen programmieren, die durchgängige und vorhersehbare Leistung über eine steigende Anzahl an heterogenen Hardware-/Prozessor-Konfigurationen bringen, die immer neue Features beinhalten, und stehen dabei vor vielen weiteren Herausforderungen.
Design & Elektronik , 30. Juli 2014

Developer Snapshots

Das statische Analysetool CodeSonar von GrammaTech wurde für den Einsatz bei der Entwicklung von sicherheitskritischer Software nach den internationalen Standards ISO 26262, IEC 61508 und EN 51028 zertifiziert. Diese drei Standards definieren die funktionelle Sicherheit von Elektronik in Automotive-Systemen, medizinischen Geräten und Eisenbahn-Anwendungen. Developer Snapshots, 4. Juli 2014

CodeSonar ist ISO 26262, IEC 61508, und EN 50128 zertifiziert

Das statische Analysetool CodeSonar von GrammaTech wurde für den Einsatz bei der Entwicklung von sicherheitskritischer Software nach den internationalen Standards ISO 26262, IEC 61508 und EN 51028 zertifiziert. Die Prüfung erfolgte bei der SGS TÜV Saar GmbH, wo man analysierte, wie die Funktionalität und Entwicklungsprozesse von CodeSonar die Voraussetzungen für diese Standards erfüllen. Hanser Automotive, 14. Juli 2014

Static code analysis tools gain ISO 26262, IEC 61508, EN 50128 certification

GrammaTech, Inc., has announced that CodeSonar, the company's static analysis product, has been certified for use in the development of safety-critical software according to several international standards: ISO 26262, IEC 61508, and EN 50128 for automotive systems, medical devices, and railway applications, respectively. EE Times Europe, 4 July 2014

CodeSonar Achieves ISO 26262, IEC 61508, and EN 50128 Certification

Innovative Visual Taint Analysis for Understanding Hazardous Data Flow in Code Improves Embedded Device Reliability and Security
Ithaca, NY — GrammaTech, Inc., a leading maker of tools that improve and accelerate software development, today announced that CodeSonar, the company's flagship static analysis product, has been certified by SGS TÜV Saar GmbH for use in the development of safety-critical software according to several international standards: ISO 26262, IEC 61508 and EN 50128. These three standards were designed to define the functional safety of electronics throughout their lifecycle within automotive systems, medical devices, and railway applications, respectively. Professional Tester, 2 July 2014

Gefährlichen Datenflüssen im Code auf der Spur:
Visuelle Fehleranalyse für embedded Software

Fehleranalyse im Quellcode ist eine anstrengende und langwierige Tätigkeit, wollen Entwickler diese ohne technische Unterstützung umsetzen.
Doch besonders in kritischen Anwendungen müssen die Programme fehlerfrei mit Null-Fehler-Toleranz laufen. Eine visuelle Sicherheitsanalyse soll Programmierern helfen, diesen Anforderungen gerecht zu werden. ... SPS Magazin 28. Mai 2014

GrammaTech wirft Licht auf blinde Code-Flecken

Der amerikanische Tool-Hersteller GrammaTech hat sein Analysewerkzeug CodeSonar 4 im Markt eingeführt. Das Tool dient zur Prüfung von Software, die in C/C++, Java oder Maschinencode geschrieben ist.
Im Vergleich zu den vorherigen Versionen sind Funktionen zur Analyse von Drittanbieter-Code, zur Normenkonformität, zur Beseitigung von anspruchsvollen Multicore-Problemen und für größere Codesicherheit hinzugekommen.
Elektronik Praxis, 10. März 2014

GrammaTech Unveils Visual Security Analysis for Embedded Software

Innovative Visual Taint Analysis for Understanding Hazardous Data Flow in Code Improves Embedded Device Reliability and Security
GrammaTech, Inc., a leading maker of tools that improve and accelerate embedded software development, today introduced the industry´s first visual taint analysis technology. Available in CodeSonar, GrammaTech´s flagship static analysis product, this innovation combines advanced tainted dataflow analyses with GrammaTech´s proprietary visualization engine, to clearly display notoriously hard-to-find tainted data pathways in embedded systems. ... Professional Tester, 25 February 2014

Security-Lecks visuell entdecken

GrammaTech kombiniert für sein Tool "Visual Taint Analyse" hoch entwickelte Datenfluss-Analysen mit einer proprietären Visualisierungs-Engine und zeigt so schwer auffindbare, fehlerhafte Datenpfade in Embedded Systemen übersichtlich an.
Die visuelle Fehleranalyse von GrammaTech ist Teil von "CodeSonar", einem statischen Analysetool, und erfasst potenziell gefährliche Datenflüsse in auf C/C++-basierenden Anwendungen, die Entwickler von Hand selbst mit erheblichem Aufwand kaum zuverlässig feststellen können. Nach der Identifizierung zeichnet "CodeSonar" die möglichen Pfade der Daten in der Applikation auf, die zu einem unerwarteten oder unsicheren Programmverhalten führen könnten. ...
www.elektoniknet.de (Artikel vom 11.03.2014)

Visuelle Sicherheitsanalyse für eingebettete Software

Der US-Softwerker GrammaTech kombiniert Datenfluss-Analysen von Embedded-Systemen mit einer selbst entwickelten Visualisierungstechnik. Diese Kombination soll es erlauben, schwer auffindbare und potenziell fehlerhafte Datenpfade zu ermitteln.
Die sogenannte Visual Taint Analysis steigert laut GrammaTech die Geschwindigkeit und Genauigkeit, mit der Entwickler Datenflüsse im System verfolgen können. Sie erfasst potenziell gefährliche Datenflüsse in C- oder C++-Anwendungen, die Entwickler von Hand kaum zuverlässig feststellen können. ...
Artikel Elektronik Praxis, 10. März 2014

Embedded software security analysis gets visual

Brought by GrammaTech, visual taint analysis technology is available in the company's flagship static analysis product, CodeSonar, combining advanced tainted dataflow analyses with a proprietary visualization engine to clearly display notoriously hard-to-find tainted data pathways in embedded systems... EE Times Europe, 4. March 2014

Analyse für Umgebungen mit Nulltoleranz für Fehler

CodeSonar führt die Quellcodeanalyse über das gesamte Programm und alle Prozesse auf dem jeweiligen C/C++ Code aus und identifiziert dabei Programmierfehler, die zu Systemabstürzen, Speicherfehlern und anderen schwerwiegenden Problemen führen können. Die ausgereifte statische Analyse von CodeSonar lokalisiert Fehler punktgenau, aufwendiges Testen entfällt. CodeSonar wurde für Unternehmen mit Nulltoleranz für sowohl Fehler als auch potenzielle Schwachstellen in ihrem Code entwickelt... Artikel Hanser Automotive , 21. Januar 2014

Bug Hunting mit statischer Codeanalyse

Statische Testverfahren zählen zu den analytischen SW-Qualitätssicherungsverfahren. Neben Komplexitätsmetriken, Architektur- und WCET-Analysen stellt insbesondere die statische Codeanalyse eine effiziente Möglichkeit dar, um Software-Bugs zu finden, welche durch dynamische Testverfahren (White-Box- und Black-Box-Testing) nicht entdeckt wurden. Diese unentdeckten Fehler können wie tickende Zeitbomben angesehen werden, die dann im Wirkbetrieb beim Kunden zu schwerwiegenden Systemausfällen führen und damit immense Kosten verursachen können. Neben den klassischen Rules-Checkern (MISRA, CERT) sind insbesondere Ansätze, die datenfluss- und kontrollflussorientierte Verfahren mit interprozeduraler Analyse kombinieren, in der Praxis einfach und effizient einsetzbar. Durch deren globale Sichtweise werden bisher unentdeckte und teils komplexe Bugs im Programmcode gefunden.
Tagungsband ESE-Kongress 2013 (Auszug, 9 Seiten)
© 2013 Prof. Dr. Daniel Fischer (Hochschule Offenburg) / ESE-Kongress

Analyse-Tool erkennt komplexe Programmfehler

CodeSonar von GrammaTech ist eine statisches Analyse-Tool für sicherheitskritische Anwendungen und wird von führenden Automobilherstellern eingesetzt. Es führt eine, das gesamte Programm abdeckende, interprozedurale Analyse von C/C++ Code durch und erkennt komplexe Programmierfehler ...
Artikel Elektronik Praxis, 7. September 2013

Günfelder: Software-Test für Embedded Systems

Automatische statische Code-Analyse

Wenn man vergleicht, wie schnell ein potenzieller Bug durch ein statisches Analysewerkzeug ... gefunden wird, und wie lange man benötigt, solche Bugs durch Debugging-Sessions auf Systemebene zu identizieren, dann ist man schnell davon überzeugt, solche Werkzeuge einzusetzen. Der Werkzeugeinsatz amortisiert sich relativ früh und ist bei Systemen mit Sicherheitsrelevanz nicht wegzudiskutieren. ... Auch die Wartbarkeit von Code verbessert sich, wenn man gleich von Anbeginn des Projekts automatische statische Analyse einsetzt und danach trachtet, immer null Warnungen zu erhalten: Viele gefährliche Code-Konstrukte werden von vornherein vermieden ...
Stephan Grünfelder: Software-Test für Embedded Systems Praxishandbuch dpunkt.verlag, Mai 2013

Software-Analyse-Tool: Defekterkennung wird durch neue Funktion vereinfacht

GrammaTech hat sein Software-Paket CodeSonar zur Visualisierung von Software-Architekturen mit neuen Funktionen aufgewertet. Zu den aktuellsten Merkmalen gehört ein Baumdiagramm, das dem Anwender mit hoher Informationsdichte einen Überblick über die hierarchische Struktur des vorliegenden Codes vermittelt. Die Ansicht gibt die unterschiedliche Defektdichte in den einzelnen Moudlen durch verschiedene Farben wieder, so dass die Anwender die problematischen Abschnitte des Codes leicht erkennen können.
Die als Call Graph bezeichnete Funktion ist entsprechend der Modulstruktur organisiert. ...
Elektronik messen+testen 04/2013 Artikel (102 KB) Webseite Elektronik

Code-Analysetool deckt Softwarefehler automatisch auf

Für Softwareprojekte mit hohen Qualitätsanforderungen bietet Verifysoft Technology jetzt das statische Code-Analysetool CodeSonar des Testwerkzeugherstellers GrammaTech an.
CodeSonar ist ein leistungsfähiges Quellcode-Analysetool zum Aufdecken von Progammierfehlern und Sicherheitslücken in C, C++ und Java-Projekten. Dank einer leistungsfähigen Datenflussanalyse ist das Werkzeug außerordentlich präzise und zeigt durchschnittlich doppelt so viele kritische Defekte wie herkömmliche statische Code-Analysewerkzeuge. ...
PC & Industrie 03/2013 Artikel (164 KB)

GrammaTech erfolgreich im Automotive-Markt

GrammaTech hat die Position im vertikalen Automotive-Markt weiter ausgebaut. Die großen Automobilbauer in Europa, USA und Asien setzen die statischen Analyse-Tools des Unternehmens zur Steigerung der Zuverlässigkeit und Sicherheit ihrer Fahrzeuge ein.
Als einer der Hauptgründe für den Einsatz der GrammaTech-Technologie wird deren Fähigkeit angeführt, sowohl in Ein- als auch in Mehrkernanwendungen mehr kritische Defekte aufzuspüren. ...
www.elektoniknet.de (Artikel vom 29.02.2013)

GrammaTech: Programmierfehler schneller finden

Dass der Mars-Rover bislang unfallfrei seiner Erkundungsmission auf dem roten Planeten nachgehen kann, liegt auch an seiner sorgfältig geprüften Software. Statische Analyse-Werkzeuge wie CodeSonar helfen, Programmierfehler gezielt aufzuspüren.
Nicht nur die NASA, sondern auch Automobilhersteller und -zulieferer setzen auf spezielle Software, um gerade bei sicherheitskritischen Anwendungen Fehlern im Code systematisch auf die Spur zu kommen. Das statische Analyse-Tool CodeSonar von GrammaTech unterzieht Programme einer interprozeduralen Analyse des C/C++-Codes und erkennt komplexe Programmierfehler, die zu Systemabstürzen, fehlerhafter Speicherverwaltung und weiteren gravierenden Problemen führen können. ...
www.elektoniknet.de (Artikel vom 28.02.2013)

Statische Analyse-Tools tragen zur Erfüllung der ISO 26262 bei

... Mit dem vermehrten Software-Einsatz lassen sich Funktionen realisieren, die nicht nur den Komfort, sondern auch die Sicherheit der Fahrzeuginsassen gravierend verbessern. Allerdings hat das seinen Preis. Denn sobald sicherheitskritische Funktionen im Auto per Software gesteuert werden, können sich dort Fehler einschleichen. ...
... CodeSonar unterzieht den gesamten C- oder C++-Quell-Code einer interprozeduralen Analyse und identifiziert Programmierfehler, die Systemabstürze auslösen, Speicherinhalte verfälschen oder andere Probleme hervorrufen können. Außerdem beinhaltet das Tool Funktionen zur Automatisierung des Arbeitsablaufs, darunter ein API für eigene Integrationen sowie Unterstützung für Ergänzungen mit individuellen Checks. ...
www.elektoniknet.de (Artikel vom 07.09.2012)

Tools Ensure Reliability of Critical Software

In November 2006, after attempting to make a routine maneuver, NASA´s Mars Global Surveyor (MGS) reported unexpected errors. The onboard software switched to backup resources, and a 2-day lapse in communication took place between the spacecraft and Earth. ...
After successfully adapting CodeSonar to check for the NASAderived rules, GrammaTech transitioned the changes into its commercial version of the product in 2008. ...
NASA Spinoff 2011

1000 Projekte später: Sicherheitscodescans in der SAP

von Rüdiger Bachmann and Achim D. Brucker
Statische Code Analyse (SCA) spielt in einem sicheren Softwareentwicklungsprozess (SDL) eine wichtige Rolle um mögliche Sicherheitsschwachstellen bereits zur Entwicklungszeit zu finden und zu beheben.
In diesem Vortrag berichten wir von unseren Erfahrungen in der großflächigen Einführung von statischer Code Analyse innerhalb der SAP AG.
OWASP-Talk

Risiken von Multicore-Software: Data-Races sind niemals harmlos

Multicore-Prozessoren werden immer beliebter. Doch ihre effiziente Programmierung gestaltet sich schwieriger als bei ihren Pendants mit nur einem Rechenkern, denn bei ihnen vollkommen neue Arten von Fehlern ins Spiel kommen, und selbst in harmlos erscheinendem Code können sich knifflige Multithreading-Bugs verbergen, zum Beispiel "Data Races". Derartige Nebenläufigkeitsfehler schleichen sich leicht ein, sind mit traditionellen Testverfahren sehr schwierig zu finden und können sich teils durch recht rätselhafte Symptome äußern. Was sind die Ursachen und Risiken von Nebenläfigkeitsfehlern? Wie gelangen solche Fehler in den Code? Wie lassen sich derartige Defekte automatisch finden und eliminieren? ...
www.elektoniknet.de (Artikel vom 23.04.2012)

NASA überprüfte fehlerhafte Software von Toyota mit GrammaTech CodeSonar

Die NASA hat kürzlich statische Codeanalyse für die Überprüfung der Software zur Untersuchung der unbeabsichtigten Beschleunigung bei Fahrzeugen von Toyota eingesetzt. GrammaTech CodeSonar war eines der von der NASA hierzu eingesetzten Werkzeuge.
In ihrem Bericht beschreibt die NASA CodeSonar wie folgt: "CodeSonar is a ... strong static source code analysis tool from Grammatech that uses a ... technology for detailed inter-procedural source code analysis. CodeSonar analysis ... can reveal more subtle types of defects and suspect coding patterns, requiring deeper path analysis."
Der komplette "NASA Engineering and Safety Center Technical Assessment Report" ist über NASA-UA_report (pdf, 11,2 MB) verfügbar. (Bericht vom 18.01.2011)

Detecting Bugs in Safety-Critical Code - Advanced Static Analysis

When software is used for safety-critical applications, bugs aren´t just expensive annoyances - they can kill. Faced with such dire consequences, developers of safety-critical systems go to great lengths to prevent bugs from making it into the field. These measures are undeniably effective at reducing risk. Although there have been some famous catastrophic failures over the years, if medical devices or flight-control systems failed as often as most software fails, the headlines would be much grimmer. ...
Dr. Dobb´s Journal March 2008

Static vs. Dynamic Detection of Bugs in Safety-Critical Code

In the never-ending quest to produce high-quality software, traditional dynamic testing plays a fundamental role. The weakness of dynamic testing is that it is only as good as the test cases. To be effective, a great deal of effort must go into writing or generating good test cases, and doing so can be very expensive.
Recently, a new breed of static analysis tools has emerged that can find flaws without writing any test cases. ...
Embedded Technology® March 2008

Statische Softwareanalyse und ihre Vorteile für medizinische Software

FDA empfiehlt statische Quellcodeanalyse für höhere Softwarequalität bei medizinischen Geräten
Angesichts des sicherheitskritischen und teilweise lebenserhaltenden Charakters muss die integrierte Software einwandfrei funktionieren. Nur ein einziger Fehler könnte unter Umständen zu schwerwiegenden Gesundheitsschäden oder sogar zum Tod des Patienten führen. Deshalb liegt doppeltes Augenmerk auf der Sicherheit dieser Software.
Meditronic-Journal 1/2008 (pdf, 448 KB)

GrammaTech CodeSonar in der Fachpresse

(Ithaca/New York, Offenburg, 4. Februar 2019)