GrammaTech weitet Einsatzbereich der statischen Analyse aus

CodeSonar verbindet nun die statische Analyse von Quell- und Binärcode mit der dynamischen Analyse durch Speicherüberwachung.

GrammaTechNürnberg — 27. Februar 2018– Für Entwickler, Entwicklungsleiter und Manager, die für sichere und sicherheitskritische Embedded-Systeme verantwortlich sind, stehen bald zwei neue Tools zur Verfügung, mit denen mehr Programmfehler schneller gefunden und beseitigt werden können. GrammaTech, ein führender Anbieter von Software-Assurance-Tools und Cyber-Security-Lösungen, stellt heute zwei neue Produkte vor: CodeSonar/Libraries und CodeSonar/X.

CodeSonar ist das erste Tool zur statischen Code-Analyse, das über das Plug-In CodeSonar/Libraries diesen Analyseansatz auch für Bibliotheken ermöglicht, die nur in binärer Form vorliegen. Andere Tools zur statischen Analyse ignorieren Anrufe binärer Bibliotheken; sie behandeln diese Calls, als ob sie nicht vorhanden wären. Laut VDC Research nutzen jedoch 25 Prozent aller Embedded-Projekte Bibliotheken aus externen Quellen. Die Vereinfachung bei der statischen Analyse sorgt so dafür, dass Probleme unerkannt bleiben (False Negatives). Um den Quellcode vollständig zu betrachten, müssen aber die Effekte der Bibliotheken mitberücksichtigt werden. Zudem übersieht der vereinfachte Ansatz Probleme, die durch Missbrauch der Bibliotheks-API entstehen können.

CodeSonar/Libraries erweitert CodeSonar um die Möglichkeit, bei der Untersuchung der möglichen Pfade durch das Programm nahtlos zwischen der Analyse von Quell- und Binärcode zu wechseln. Daraus ergibt sich eine effektiv bessere Erkennungsquote von Fehlern im Quellcode. In vielen Entwicklungsprojekten kommen binäre Bibliotheken von Drittherstellern oder Code aus bestehenden Altanwendungen zum Einsatz. Darunter fallen zum Beispiel Firmware, Betriebssystem-Bibliotheken, Subsysteme für grafische Benutzerschnittstellen oder Middleware-Layer wie CORBA, DDS, MQTT und dergleichen.

CodeSonar/X ist eine wegweisende Neuerung, die statische und dynamische Analyse miteinander verbindet. Damit hilft sie den Software-Entwicklern dabei, effizienter zu werden, Risiken zu minimieren und gleichzeitig die Time-to-Market abzukürzen. Das Plug-In für CodeSonar von GrammaTech zeigt Zustandsverletzungen beim Host-basierenden Testing auf, indem es den Speicherzugriff überwacht. Es kombiniert statische und dynamische Verletzungen und gibt diese über die Oberfläche von CodeSonar aus. Für die Entwickler ist es somit einfach, die Warnungen zu korrelieren und zu priorisieren.

„Der Einsatz von Bibliotheken sowie Zustandsverletzungen durch Buffer Overruns sind für Entwicklerteams oft im toten Winkel“, erläutert Mark Hermeling, Senior Director Product Marketing bei GrammaTech. „Die falsche Anwendung von Bibliotheken kann zu schwer zu erkennenden Laufzeitfehlern führen. Unerkannte Buffer Overflows können eine Schwachstelle zur Folge haben, die sich wiederum ernsthaft auf die Sicherheit der Geräte auswirkt. CodeSonar/Libraries und CodeSonar/X belegen die innovative Kraft von GrammaTech. GrammaTech versteht sich als Vordenker im Bereich der statischen Analyse für Devices, bei denen Fehler keine Option sind.“

CodeSonar/Libraries ist ab sofort verfügbar, CodeSonar/X folgt im Laufe des Jahres. Kunden wenden sich direkt an GrammaTech, um Zugang zu diesen neuen Technologien zu erhalten. Für weitere Informationen stehen GrammaTech und der Vertriebspartner VerifySoft auf der Embedded World 2018 vom 27. Februar bis 1. März in Halle 4, Stand 4-423 zur Verfügung. Zudem findet am 28. Februar von 10:00 Uhr bis 10:30 Uhr ein Vortrag zu diesem Thema mit dem Titel „Static Analysis++“ in Halle 4, Stand 4-328 statt.

 

Über GrammaTech:

Software-Entwickler auf der ganzen Welt setzen die Tools von GrammaTech ein, wo Zuverlässigkeit und Sicherheit zu den Grundvoraussetzungen zählen:  Luft-/Raumfahrt, Automotive, Medizintechnik und andere zahlreiche andere Branchen. GrammaTech entstand aus einem Forschungsprojekt an der Cornell Universität. Heute ist GrammaTech sowohl ein führendes Forschungscenter als auch kommerzieller Anbieter von Software-Assurance-Tools und fortschrittlicher Cyber-Security-Lösungen. Mit Tools sowohl für die statische als auch für die dynamische Analyse von Source Code und binären Dateien treibt GrammaTech die Forschung im Bereich herausragender Software-Analyse voran und verfügt über Technologien, mit denen Software-Teams sichere Software programmieren können. Besuchen Sie uns auf www.grammatech.com oder folgen Sie uns bei LinkedIn für weitere Informationen.