logo

Static Code Analysis Day 2017

Static Code Analysis Day 2017

20 December 2016

4. Static Code Analysis Day 2017 mit interessanten Vorträgen

Zum 4. Static Code Analysis Day am 21. März 2017 in Offenburg konnte das Team von Verifysoft Technology wieder zahlreiche Teilnehmer aus dem gesamten deutschsprachigen Raum begrüßen.
Professor Dr. Daniel Fischer von der Hochschule Offenburg, Dr. Paul Anderson (Vice President of Engineering bei GrammaTech in New York) und Royd Lüdtke von Verifysoft zeigten, wie durch den Einsatz von statischer Codeanalyse die Softwarequalität effizient verbessert wird und wie sich durch das schnelle Finden von Fehlern ein enormes Kosteneinsparungspotential ergibt. Die Teilnehmer erfuhren mehr über die Vorteile der "Advanced Static Code Analysis" im Vergleich zu herkömmlichen Analysewerkzeugen.
94% der Besucher können die Inhalte in ihrer täglichen Arbeit direkt anwenden und empfehlen den Static Code Analysis Day weiter. Bei 88% der Teilnehmer wurden die Erwartungen sogar übertroffen.
Der nächste Static Code Analysis Day wird am Dienstag, 6. März 2018 wieder in Offenburg stattfinden.

Static Code Analysis Day 2017 Wie bei den letzten Static Code Analysis Days fanden auch beim 4. Static Code Analysis Day zahlreiche Besucher den Weg nach Offenburg.

Hier die Vorträge des 4. Static Code Analysis Day:


Softwarequalitätssicherung

(Professor Dr. Daniel Fischer, Hochschule Offenburg)
Professor Dr. Fischer ist anerkannter Spezialist für den Test von Software. Der Schwerpunkt seiner Arbeit liegt in der Qualitätssicherung sicherheitskritischer embedded Software. In seinem Vortrag gab Professor Fischer einen fundierten Überblick über Methodiken zur Absicherung der Softwarequalität sowie über Testtechniken, die in der Praxis erfolgreich zum Einsatz kommen.   > Vortragsslides

Advanced Static Code Analysis

(Dr. Paul Anderson, Vice President of Engineering, GrammaTech New York)
Mittlerweile ist die Entwicklung hochqualitativer Software ohne Unterstützung durch Werkzeuge zur statischen Codeanalyse nicht mehr denkbar. Durch hochentwickelte Techniken kann die statische Analyse im Vergleich zu traditionellen Testverfahren ein Vielfaches mehr an Programmzuständen berücksichtigen. In der Regel erlauben diese Techniken dem Anwender die Abstimmung der Dreierbeziehung Präzision, Leistung und Anzahl aufgefundener Fehler/Annomalien. Der Vortrag zeigte auf, wie ein Werkzeug zur statischen Codeanalyse anforderungsgerecht optimiert werden kann.


Sicherheitslücken mithilfe statischer Codeanalyse vermeiden

(Dr. Paul Anderson, Vice President of Engineering, GrammaTech New York)
Sicherheitslücken, hervorgerufen durch Programmierfehler, stellen für eingebettete Systeme ein zunehmendes Risiko dar. Gründe dafür sind eine höhere Softwarekomplexität durch vermehrten Bedarf an Funktionalität, sowie die zu verzeichnende Fokussierung der Angreifer auf eingebettete Systeme. So kann ein einfacher Fehler, wie ein nicht vor Überlauf geschützter Zwischenspeicher, von einem Angreifer genutzt werden um das Programm von ihm kontrollierten Code ausführen zu lassen. Die Nachverfolgung von gefährlichem Informationsfluss (Taint Analysis) gibt Hinweise über die Ausbreitung von möglicherweise nicht vertrauenswürdigen Eingangsdaten innerhalb der Applikation mit Sicht auf den Quellcode. Somit werden Schwachstellen deutlich, die ein Angreifer ausnutzen könnte. Der Vortrag erklärte die Funktionsweise dieser Analysetechnik und zeigt wie gravierende Sicherheitslücken aufgedeckt werden können, die sich mit herkömmlichen Verfahren nur schwer auffinden lassen.


Risiko Binärdatei? - Einsatz von Werkzeugen zur statischen Analyse nicht nur für den Quellcode

(Dipl.-Ing. (FH) Royd Lüdtke, Director Static Code Analysis, Verifysoft Offenburg)
Neben der statischen Analyse des Quellcodes besteht oftmals die Notwendigkeit, auch binäre Komponenten externer Anbieter in die eigene Applikation einzubinden. Für diese ist meist kein Quellcode verfügbar. Eine Aussage über deren Qualität kann daher nur unzureichend aufgrund dynamischer Black-Box-Tests getroffen werden. Der Vortrag zeigte, wie ein modernes, statisches Analysewerkzeug hier unterstützen kann.
FAZIT dieses Vortrages:
Die statische Binäranalyse ist sehr leistungsfähig, kann aber naturgemäß nicht die gleiche Fehleraufdeckungsrate wie die Quellcodeanalyse erreichen. Zu den Herausforderungen zählen die Unterscheidung zwischen Code und Daten, die Abgrenzung der Variablen, die Abgrenzung von Instruktionen und Prozeduren, sowie die Unterscheidung von globalen und lokalen Variablen.
Wenn kein Quellcode zu einer Binärdatei vorhanden ist, kann die statische Binäranalyse als wertvolle Ergänzung zum dynamischen "Black-Box"-Test die Softwarequalität entscheident verbessern.

Referenten

-

Dr. Paul Anderson

Paul Anderson leitet die Entwicklungsabteilung bei GrammaTech (USA), einem der führenden Hersteller von Statischen Codeanalysetools. Er hat seinen Bachelor in Kings College of London University abgeschlossen und an der City University of London promoviert. Die Ergebnisse von Paul Andersons Arbeit wurden in zahlreichen Artikeln, Publikationen, Büchern und internationalen Konferenzen zitiert. Dr. Anderson hat mehr als 20 Jahre Erfahrung in der Entwicklung von statischen Analysewerkzeugen und automatisierten Testtools.
-

Professor Dr.-Ing. Daniel Fischer

Daniel Fischer ist seit 2001 Professor für Informationstechnologie an der Hochschule Offenburg und leitet dort als Studiendekan die Studiengänge "Angewandte Informatik" sowie "Informatik/Wirtschaft plus". Daniel Fischer studierte Nachrichtentechnik sowie Elektrotechnik und promovierte am Forschungszentrum Karlsruhe. Während seiner Industrietätigkeit hat sich Dr. Fischer unter anderem mit Softwarequalitätssicherung und Testautomatisierung im Umfeld eingebetteter Systeme beschäftigt.
-

Dipl.-Ing. (FH) Royd Lüdtke

Diplom-Ingenieur Royd Lüdtke leitet bei Verifysoft den Pre-Sales und Support für Statische Codeanalysetools im deutschsprachigen Raum. Royd Lüdtke hat umfangreiche Berufserfahrung als Applikationsingenieur und Berater bei einer Vielzahl von Firmen und Institutionen wie New Era Of Networks, Sybase, Rogue Wave Software und dem Fraunhofer Institut. Lüdtke studierte in Dortmund Elektrotechnik und Energietechnik, hält mehrere Patente und ist Autor von Veröffentlichungen im IT-Bereich.


Archiv Static Code Analysis Days

1. Static Code Analysis Day 2014
2. Static Code Analysis Day 2015
3. Static Code Analysis Day 2016
weitere Veranstaltungen von Verifysoft

Ausgewählte Vorträge der Static Code Analysis Days

[PDF]  Wegweiser zur Auswahl eines Werkzeuges zur Statischen Codeanalyse (Dipl.-Ing. Royd Lüdtke, Verifysoft)
[PDF]  Auffinden von Nebenläufigkeitsfehlern durch Statische Codeanalyse (Dipl.-Ing. Royd Lüdtke, Verifysoft)

Royd Lüdtke, Prof. Dr. Fischer, Klaus Lambertz Dipl.-Ing. Royd Lüdtke, Prof. Dr. Daniel Fischer und Verifysoft-Geschäftsführer Klaus Lambertz

Professor Dr. Daniel Fischer Prof. Dr. Fischer (Hochschule Offenburg): Statische Analyse erhöht die Qualität und senkt Kosten

How Static Analysis Works Vortrag: Wie arbeitet die Statische Codeanalyse?

Dr. Paul Anderson Dr. Anderson (GrammaTech New York) zeigte Advanced Static Analysis

GrammaTech CodeSonar

GrammaTech CodeSonar

Static Analysis

Focus on Quality © Michael Flippo (Fotolia)

Developer © Monkey Business (Fotolia)

Tester © yanlev (Fotolia)