:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Statische Code-Analyse in CI/CD-Prozessen Agile und sichere Embedded-Software-Entwicklung
Innerhalb von CI/CD-Prozessen, sprich Continuous Integration und Deployment, spielt Qualitätssicherung eine zentrale Rolle. immerhin sollen diese agilen Methoden besseren Code und leichtere Fehlerbeseitigung gewährleisten. Besonders im Embedded-Umfeld kommt es dabei darauf an, die Entwickler frühzeitig auf Fehler oder Abweichungen von gesetzten Standards hinzuweisen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/53/655336f3d99e1/logo-devops-windhoff-group.png "logo-devops-windhoff-group (https://devops.windhoff-group.de/)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Agile Entwicklungsmethoden haben sich bereits seit geraumer Zeit in allen Bereichen der Software-Entwicklung etabliert. Besonders die Prinzipien der Continuous Integration (CI) und des Continuous Deployment haben sich zu Quasistandards entwickelt.
Der Gedanke dahinter: Je öfter jeder Entwickler seinen Beitrag in den Gesamtcode einbringt, desto einfacher sind Fehlersuche und -beseitigung. Damit steigt die Qualität der Software, was wiederum eine Kernforderung des Agilen Manifests erfüllt: „Liefere funktionierende Software regelmäßig innerhalb weniger Wochen oder Monate und bevorzuge dabei die kürzere Zeitspanne.“
Der wichtigste Unterschied zwischen CI und CD ist – salopp gesagt – der Punkt, an dem die Arbeit der Entwickler als erledigt betrachtet wird. Bei CI muss der Codebeitrag eines Entwicklern, die so genannte Integration, in die gemeinsame Codebasis (Mainline) so integriert werden können, dass ein erfolgreicher Build möglich ist.
Schlägt der Build fehl, muss der Fehler mit höchster Priorität gefunden und beseitig werden. Hier gilt die Regel, dass „fixing the build“ Vorrang vor allem anderen hat. Bei CD trifft dieses Prinzip ebenfalls zu. Allerdings endet der Prozess nicht mit dem erfolgreichen Build der Mainline, sondern mit der Aulieferung an den Kunden oder Anwender.
Funktionierende, bessere Software
Neben der Geschwindigkeit der Integration spielt also das Vermeiden von Fehlern eine entscheidende Rolle in diesem Konzept. Ein weit verbreitetes Vorgehen ist, dass die Entwickler ihre Integration frühzeitig testen, in der Regel noch am eigenen Arbeitsplatz. Gelingt dort ein Test-Build, kann die Integration in die Mainline aufgenommen werden. Um Fehler und Standardverletzungen nicht zu übersehen, sind drei Punkte wichtig:
- 1. Jede Integration muss vor dem Einchecken in der Mainline hinreichend auf Fehler und Standardkonformität überprüft werden;
- 2. Der definierte Integrationsprozess muss zu jeder Zeit eingehalten werden;
- 3. Die einzelnen Schritte sind so weit als möglich zu automatisieren.
Die Automatisierung nimmt hier eine zentrale Rolle ein. Martin Fowler, einer der wichtigsten Köpfe hinter der Continuous Integration, postuliert: „Die Continuous Integration setzt ein hohes Maß an Tests voraus, die als Automatismus in die Software integriert sind.“ Denn jedes manuelle Eingreifen ist eine potenzielle Fehlerquelle, die soweit möglich vermieden werden sollte.
Für diese Anforderungen bietet sich die statische Code-Analyse an. Das Prinzip dieses Ansatzes: Aus dem Code wird ein Modell erzeugt, in dem alle Daten- und Steuerungsströme durchlaufen werden können. Über definierte Checker lassen sich so Fehler wie Buffer Overruns oder Null-Pointer-Dereferenzierungen erkennen. Auch Datenströme aus unsicheren, nicht validierten Quellen (Tainted Data) werden aufgezeigt. Zudem ist es möglich, auch Abweichungen von Programmierstandards aufzuspüren.
:quality(80)/images.vogel.de/vogelonline/bdb/1461500/1461567/original.jpg "Innerhalb des Continuous-Integration-Prozesses wirkt die statische Analyse in der Entwicklungsphase, während des Testings und bei Reviews.")
:quality(80)/images.vogel.de/vogelonline/bdb/1461500/1461569/original.jpg "Da in den meisten Entwicklungsprojekten Binärcode aus Drittquellen genutzt wird, kommt der Analyse dieser Binaries ein erheblicher Stellenwert zu.")
Static Code Analysis Tools, zu denen auch CodeSonar zählt, sind ferner in der Lage, dieses Verfahren auch auf Binärcode anzuwenden. Vor allem im Embedded-Bereich wird diese Möglichkeit immer wichtiger. Denn viele Komponenten – meist Bibliotheken und Tool-Kits – werden heute nicht mehr Inhouse entwickelt, sondern aus externen Quellen bezogen.
Ein erheblicher Teil dieses Codes liegt nur in binärer Form vor und entzieht sich damit einer manuellen Überprüfung. Die statische Analyse ergänzt das dynamische Testing um die Möglichkeit, auch nichtlauffähige Codeteile zu untersuchen sowie Codebereiche zu analysieren, die im Testing unter Umständen nicht durchlaufen werden.
Geringer Aufwand und Automatisierung
Innerhalb des Software Delevopment Lifecycles (SDLC) kann die statische Analyse an zwei Stellen zum Einsatz kommen: Am Arbeitsplatz des Entwicklers, um die Code-Qualität bereits vor dem Test-Build sicherzustellen. Hier gibt die statische Analyse den Entwicklern ein sofortiges Feedback, noch während der Code geschrieben wird. Die Warnungen ähneln der Ausgabe des Compilers, die Codequalität kann also sehr zeitnah und mit geringem Aufwand verbessert werden.
Am Build-System der Mainline geht es darum, die Integration nochmals genauer auf Fehler zu überprüfen. Und auch Probleme zu finden, die das dynamische Testing nicht erkennen kann. In beiden Szenarien lassen sich professionelle Tools wie CodeSonar nahtlos in die Tool-Chain integrieren und die Analysen automatisieren.
Dabei gilt es aber darauf zu achten, die Analysen in einem angemessenen Umfang durchzuführen. Denn neben der schnellen und häufigen Integration ist die Build-Zeit ein wichtiger Aspekt der CI. Build-Zeiten von mehreren Stunden wiedersprechen dem Agilitätsprinzip. Um zügig zu neuen Builds zu kommen, können die Analysen in verschiedenen Entwicklungsphasen mit unterschiedlichem Umfang eingebunden werden.
Bei der Analyse am Arbeitsplatz muss meist die Detailtiefe bei Analyse und Testing hinter der Geschwindigkeit zurückstecken. Deshalb ist es sinnvoll, hier nur die wichtigsten Checker zu nutzen, zum Beispiel sicherheitsrelevante Fehler wie Buffer Overflows oder Abweichungen von Programmierstandards. Die ausführlichen Tests und Analysen erfolgen an der vollständigen Codebasis. Hier steht mehr Zeit zur Verfügung.
Für die Suche nach möglichen Tainted-Data-Angriffen oder Parallelitätsproblemen ist diese Phase optimal geeignet. Auch dabei sollte man jedoch die Build-Time im Blick behalten. Unter Umständen kann es sinnvoll sein, auch auf dem Build-System nur eine Auswahl der benötigten Tests und Analysen durchzuführen, um tiefgreifende Tests in einer zweiten Stufe umzusetzen. Der Vorteil bei diesem Ansatz ist, dass der Build mit den aktuellen Commits schnell im Repository zur Verfügung steht und dennoch eine intensive Qualitätssicherung vor dem Deplyoment gewährleistet werden kann.
Fazit
Continuous Integration und Continuous Deployment haben sich in der agilen Software-Entwicklung bewährt, um Funktionen schnell bereitzustellen. Der Ansatz erlaubt einen schlanken Entwicklungsprozess, indem ein großer Teil der Routinetätigkeiten in kleine, überschaubare Portionen aufgeteilt wird. Der Erfolg hängt jedoch entscheidend von der Qualität und Fehlerfreiheit der Integrations ab.
Je früher Bugs erkannt und beseitigt werden, desto geringer ist das Risiko fehlgeschlagener Builds – und damit die Gefahr, unangemessen viel Zeit und Ressourcen mit der Fehlersuche zu vergeuden. Die statische Analyse kann innerhalb des agilen SDLC helfen, die Entwicklung und die Time to Market signifikant zu beschleunigen. Und gleichzeitig die Qualität der Software zu verbessern.
* * Mark Hermeling, Senior Director Product Marketing bei GrammaTech, Inc.
(ID:45513621)
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")