:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/6e/456e267b716932fdb332be968e593118/0110255660.jpeg "Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas. (Symbolbild:tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/84/bd84a42749a528eaa94f513429d8f9f0/0110156993.jpeg "Links auf der Überholspur: Shift-Left-Testing macht effiziente DevSecOps-Workflows erst überhaupt möglich. Hier durchdringt kontinuierliches Testen die kontinuierliche Entwicklung (Dev), Sicherheit (Sec) und Bereitstellung (Ops). (Bild: <a href=https://www.pexels.com/de-de/@taras-makarenko-188506/>Taras Makarenko</a>)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/d9/2ed91d40782848e566b17756be9d0be0/0109334017.jpeg "Autoscaling steht im Gegensatz zum klassischen Hosting, für welches ein festgelegtes Leistungskontingent gebucht wird. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika</a>)")
Möglichkeiten der K8s-Autoskalierung im Überblick :quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/4b/5f/4b5f3bc0250747a0be176f75251b855b/0109875780.jpeg "Um die Komplexität dynamischer Cloud-Bereitstellung zu durchblicken, sollten Verantwortliche geeignete Hilfsmittel strategisch einsetzen. Das schlägt sich dann auch schnell in barer Münze nieder. (Bild: 2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/66/99664bb4deaa0658bb63829dc519ce37/0109263207.jpeg "Kein Ansatz für sich allein genommen eignet sich perfekt zur Produktivitätsmessung. Doch es stehen Optionen bereit, die sich den Anforderungen nähern können. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/92/04/92040188bf6a5759c92127a77dc7ecf6/0110148626.jpeg "Die Einführung digitaler Innovationen muss den Praxisalltag erleichtern und darf nicht zu einem
Mehraufwand führen (Bild: contrastwerkstatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/e3/de/e3de24c10c696d41a2d2533020b59380/0109751159.jpeg "Vor dem Einsatz eines API-Typs sollte man die verfügbaren Ressourcen analysieren und die Anforderung der Anwendung genau definieren. (Bild: © vector_v - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Binärcode-Analyse: Software- Qualität in fremden Händen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Zahlreiche Geräteentwickler kaufen die Embedded Software für ihr Industrie- oder IoT-Gerät von Drittanbietern zu. Doch wie ist zu gewährleisten, dass Code aus Händen Dritter zuverlässig und sicher ist?
Vertrauen ist die Mutter der Sorglosigkeit – Dieses Bonmot des spanischen Schriftstellers Baltasar Gracián y Morales aus dem 17. Jahrhundert gilt auch bei der Software-Entwicklung. Die Sorglosigkeit, wie in den vergangenen Jahren Software in vielen Bereichen entwickelt wurde, ist heute kaum mehr akzeptabel.
Immerhin nimmt Software im Zuge der digitalen Transformation, die aktuell abläuft, eine grundsätzlich andere Stellung ein als bisher. Sie wird die kritische Basis für physikalischen Produkte, für Dienstleistungen und für Geschäftsmodelle. Dabei nimmt Embedded Software als unverzichtbare Grundlage des Internet of Things eine besonders dominante Rolle ein.
Eine Herausforderung ist dabei, dass der Code auch für IoT-Devices immer komplexer wird: Bis vor kurzem mussten sich die wenigsten Embedded-Entwickler mit Fragen nach Netzwerk-Stack, Verschlüsselung und dergleichen beschäftigen. Immer mehr Funktionen, mehr Rechenleistung und neue Anforderungen bei Management und Wartung der Devices machen die Entwicklung kompliziert.
Eine Lösung dafür, die Entwicklungsabteilungen zunehmend nutzen, ist die Integration von Codeteilen aus externen Quellen. Das Marktforschungsunternehmen VDC Research ermittelte in einer Studie von 2016, dass im Embedded-Bereich fast 45 Prozent der Code-Basis aktueller Projekte von Dritten stammt. Gut die Hälfte davon steht laut der Studie als Open Source zur Verfügung. Die andere Hälfte wird kommerziell - und in der Regel in Binärform - vertrieben.
:quality(80)/p7i.vogel.de/wcms/e9/6e/e96e5b5acd82dbd776fb2fefce71624a/64644550.jpeg "Bild 1: Beispiel von Obfuscation eines Exploits im Project Unreal IRCD. Im Quellcode erscheint die betreffende Stelle als ein harmloses Makro zum Debug-Loggin.")
:quality(80)/p7i.vogel.de/wcms/fb/cc/fbcc154f1ec5f536c20ea601d1f69b69/64645182.jpeg "Bild 2: Weitere Ausführung des Verschlerungs-Beispiels. Alle Obfuscation-Anstrengungen wurden vom Compiler aufgelöst.")
Risiko durch extern zugekauften Code
Innerhalb der Software Supply Chain entsteht dadurch ein unwägbares Risiko: Ist der Code aus externen Quellen sicher und entspricht er den Standards der eigenen Entwicklungsabteilung? Unter anderem sind folgende Bereiche davon betroffen:
Security: Mit dem Einsatz von Code aus externen Quellen werden möglicherweise vorhandene Sicherheitslücken in das eigene Projekt übernommen. Das stellt das eigene Unternehmen vor zwei Herausforderungen: Sicherheits-Updates des Code-Zulieferers müssen zeitnah in die eigene Anwendung übernommen und an die Kunden ausgerollte werden. Zudem kann der fremde Code versteckte und auch böswillige Schwachstellen aufweisen, für die das eigene Unternehmen geradestehen muss.
Zertifizierung: Entwickler, die Anwendungen in kritischen Bereichen wie Medizintechnik oder Avionik entwickeln, müssen sich bei Programmierung und Testing an klare Standards und Normen halten. Code Dritter, der in das eigene Projekt einfließt, muss nach denselben Standards zertifiziert sein. Die entsprechende vollständige Dokumentation seitens des Code-Zulieferers muss also vorliegen - oder der fragliche Code selbst zertifiziert werden. Bei Binärcode kann das ohne die richtigen Tools extrem schwierig werden.
Qualität: Fehler im externen Code müssen nicht gleich sicherheitsrelevant sein. Performance-Probleme oder Abstürze reichen aus, um den eigenen guten Ruf zu ruinieren. Zusätzliche Kosten für Updates oder sogar eine komplette Neuentwicklung sind da schon fast das kleinere Übel.
Verschleierung: Binärcode gegen Obfuscation
Eine manuelle Prüfung mag bei Quellcode zumindest theoretisch noch möglich sein, bei binären Dateien kommt man so nicht weiter. Zudem sollte nicht vergessen werden, dass der Quellcode nicht zwingend das fertige Produkt vollumfänglich repräsentiert. Jeder Compiler hat seine Eigenarten unter bestimmten Bedingungen, etwa beim Lesen von Union-Datentypen, mit dem unterschiedliche Datentypen im selbem Speicherbereich abgelegt werden können. Der Compiler entscheidet hier, wie er damit umgeht. Erst im Binärcode zeigt sich das Ergebnis.
:quality(80)/images.vogel.de/vogelonline/bdb/1169700/1169770/original.jpg "Embedded Software übernimmt hinter den Kulissen die Steuerung, Regelung und Überwachung diverser Geräte. (Pixabay.com)")
Definition „Eingebettete Software“
Was ist Embedded Software?
Ein ähnlicher Effekt tritt auf, wenn Schadcode böswillig in den Quellen versteckt wird. Durch diese so genannte „Obfuscation“ ist es kaum möglich, einen Schadcode in den Quellen nachzuvollziehen. Ein Paradebeispiel dafür ist der Exploit im Project Unreal IRCD von 2010 (CVE-2010-2075), bei dem externe Daten über eine Socket-Verbindung ungeprüft Systembefehle ausführen konnten. Im Quellcode erscheint die betreffende Stelle als ein harmloses Makro zum Debug-Loggin (siehe Bild 1). Hinter der Verschleierung steht ein System Call, alles weist auf eine Insider-Sache hin. Im Binärcode hingegen zeigt sich das ganze Ausmaß der Bedrohung. Denn alle Obfuscation-Anstrengungen wurden vom Compiler aufgelöst, der Call fällt sofort ins Auge (siehe Bild 2).
Es ist also auf jeden Fall sinnvoll, Code aus externen Quellen ebenso zu überprüfen wie die eigene Entwicklungsarbeit. Dazu empfehlen fast alle Standards wie DIN EN 51508 ab einer gewissen Kritikalität der Anwendung den Einsatz statischer Analyse. Hierbei wird die Software nicht ausgeführt, sondern ein Modell erzeugt, das geprüft werden kann. Und damit auch mögliche Error Conditions, die in Test-Szenarien meist nicht auftreten, aber später für Probleme sorgen können.
Die meisten Tools sind jedoch nicht in der Lage, binären Code hinreichend zu untersuchen. CodeSonar von GrammaTech hingegen kann sowohl Binärcode als auch Quellcode auf Schwachstellen untersuchen. Dazu gehören Buffer Overrun/Underrun, Command Injection, Integer Overflow of Allocation Size, SQL Injection und Non-constant Format String
Das Tool erzeugt dazu ein Modell des gesamten Programms mit allen Source- und Binary-Bestandteilen: Was als Quellcode vorliegt, wird geparst und Binär-Code wird disassembliert. CodeSonar erzeugt daraus eine einheitliche Präsentation, die die Semantik beider Teile konsistent abbildet. Um mögliche Fehler zu erkennen, durchläuft das Werkzeug das Modell interprozedural und sucht nach Anomalien. Das Analyse-Tool ermittelt alle möglichen Zustände, die das Programm einnehmen kann. So können auch Fehler gefunden werden, die in definierten Test-Szenarien nicht auftreten.
Durch die Möglichkeit, die Analyse zu automatisieren, skaliert das bei CodeSonar implementierte Verfahren auch für große und komplexe Software-Projekte. Für die Entwickler und für das Unternehmen bedeutet das: Sichere Software bei einer kürzeren Time to Market. - und externen Herstellern muss nicht weiter blind vertraut werden.
Dieser Beitrag ist ursprünglich auf unserem SchwesterportalElektronikpraxis.deerschienen.
* Mark Hermeling ist Senior Director Product Marketing bei GrammaTech, Inc.
(ID:44896109)
:quality(80)/images.vogel.de/vogelonline/bdb/1902600/1902633/original.jpg "(gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935300/1935306/original.jpg "PLS‘ UDE unterstützt ab sofort auch die neue Infineon AURIX™ TC4x Familie, die neueste Generation an Automotive-MCUs des deutschen Chipherstellers. (PLS)")