:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Wo Programmierstandards helfen und wo nicht Software-Sicherheit in der Fahrzeugentwicklung
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Programmierstandards wie MISRA-C sind in der automobilen Softwareentwicklung etabliert und decken inzwischen auch (Cyber-)Sicherheit ab. Aber was bringt die Einhaltung oder gar Konformität mit diesen Standards wirklich? Und welcher Programmierstandard ist der richtige?
Die Menge der in einem Fahrzeug verbauten Software wächst schon seit Jahren exponentiell. Auf aktuellen Modellen laufen längst jenseits von 100 Millionen Zeilen Code. Die Automobilbranche spricht von „Software-definierten Fahrzeugen“, deren Features und Funktionen primär durch Software ermöglicht werden.
Gleichermaßen hat sich die Anzahl der externen Schnittstellen erhöht. Immer mehr Funktionen können drahtlos aus der Ferne bedient und überwacht werden. Beide Faktoren haben dazu beigetragen, dass sich die Angriffsfläche für potenzielle Cyberattacken drastisch verbreitert hat.
Glücklicherweise steht aus der IT und anderen Industriebereichen sehr viel Know-how zu Cybersicherheit zur Verfügung, das sukzessive in den Automobilbereich übertragen wird. Hierbei versucht man, sich an bereits etablierte Prozesse und Standards in der Fahrzeugentwicklung „anzuflanschen“. Das ist sinnvoll, um eine möglichst reibungslose Umsetzung der jeweiligen Maßnahmen und Methoden zu gewährleisten.
Der im letzten Jahr veröffentlichte Standard ISO/SAE 21434 („Road Vehicles – Cybersecurity Engineering“) ist ein gutes Beispiel für diese Entwicklung, orientiert er sich doch stark am bekannten ISO 26262 für Funktionale Sicherheit. Daher ist es wenig überraschend, dass auch der ISO/SAE 21434 die Anwendung von Coding Standards wie MISRA-C oder CERT-C empfiehlt.
Dieser Umstand und die gute Überprüfbarkeit des Quellcodes auf Konformität durch entsprechende Tools haben Coding Standards zu einer der häufigsten Cyber-Security-Maßnahmen in der automobilen Softwareentwicklung gemacht. Interessant ist, dass im traditionellen AppSec-Bereich solche Programmierstandards eine vergleichsweise untergeordnete Rolle spielen. Dort setzt man eher darauf potenzielle Schwachstellen zu finden, etwa durch Code Reviews von Softwaresicherheits-Experten oder durch sogenannte SAST-Tools.
Das hängt unter anderem damit zusammen, dass viele Sicherheitsschwachstellen durch den Datenfluss von manipulierbaren (englisch „tainted“) Daten entstehen, z.B. der Buffer-Overflow. Das lässt sich durch Coding-Regeln nur bedingt verhindern und erfordert oft eine tiefergehende Taint-Analyse. Dazu später mehr, widmen wir uns zunächst dem Cybersicherheitsstandard ISO/SAE 21434.
Anforderungen gemäß ISO/SAE 21434
ISO/SAE 21434 deckt die Entwicklung des gesamten elektrisch-elektronischen (E/E) Systems im Fahrzeug unter Cybersicherheitsaspekten ab. Ziel des Standards ist es, Anforderungen für die Cybersicherheit über den gesamten Lebenszyklus des Fahrzeugs zu spezifizieren sowie ein Framework zur Verfügung zu stellen, an dem man sich bei der Umsetzung orientieren kann.
Anforderungen, die Programmierstandards für die Softwareentwicklung vorschlagen, finden sich im Kapitel 10 („Product Development“). Da der Standard eine Entwicklung nach dem V-Modell unterstellt, teilt sich die Softwareentwicklung in eine Implementierungsphase (linker Ast des V) und eine Integrations- und Verifikationsphase (rechter Ast im vorangestellten Bild). Es finden sich folgende Anforderungen:
- RQ-10-05 fordert die Verwendung von Coding Guidelines, sofern die Programmiersprache selbst nicht für genug Sicherheit sorgt (also z.B. dem Entwickler gar nicht die Möglichkeit gibt, Buffer Overflow-Schwachstellen zu erzeugen). Es wird beispielhaft auf die Coding Standards MISRA-C und CERT-C verwiesen.
- RQ-10-10 ist das Gegenstück auf dem rechten Ast des V und verlangt unter anderem die Feststellung der Konformität mit den vorher genannten Coding Guidelines durch entsprechende Testmethoden, wie etwa der statischen Codeanalyse.
Über die Verwendung und Einhaltung von Coding Standards hinausgehend, wird in RC-10-12 eine Überprüfung auf nicht identifizierte Codeschwächen („Weaknesses“) sowie Schwachstellen („Vulnerabilities“) empfohlen. Das ist der Bereich der klassischen Softwaresicherheitstools wie beispielsweise SAST, DAST und Fuzz Testing.
Coding Standards für sichereres Programmieren
Die bekanntesten Coding Standards für der Automobilentwicklung werden von dem MISRA-Konsortium (Motor Industry Software Reliability Association) bereitgestellt. MISRA-C gibt es bereits seit 1998, als Coding Guidelines für Eingebettete Systeme. Obwohl nicht ausschließlich für den Automobilbereich entworfen, haben sich die Richtlinien dort etabliert. Die MISRA Coding Guidelines haben insbesondere durch die Empfehlung im ISO 26262 Standard für Funktionale Sicherheit stark an Bedeutung gewonnen.
Auf den Bereich Cybersicherheit wurden sie erstmals 2016 mit dem Amendment 1 für MISRA-C 2012 erweitert. 2018 kamen dann weitere Regeln aus den bekannten Standards SEI CERT-C und ISO/IEC TS 17961:2013 für sicheres Programmieren hinzu. Aktuell arbeitet das MISRA-Konsortium an der „Renovierung“ von MISRA-C++.
Coding Standards sind vor allem dort beliebt, wo Konformität im Vordergrund steht. Durch die enge Verknüpfung mit den Standards ISO 26262 und 21434 ist die Verwendung von MISRA-C in der Fahrzeugsoftwareentwicklung nahezu obligatorisch. In anderen Bereichen wie beispielweise der Verteidigungsindustrie oder der Medizintechnik sieht es ähnlich aus.
Licht und Schatten
Die Verwendung von Coding Standards hilft, besseren Code zu schreiben, weil es lediglich erlaubt ist, eine Untermenge der Programmiersprache zu verwenden. Dadurch vermeidet man „ungünstige“ Muster, also beispielsweise Konstrukte, die bestimmte Arten von Schwachstellen wie Buffer Overflows begünstigen. Ähnliches gilt für Strukturen, welche die Komplexität unnötig erhöhen oder die nicht eindeutig sind. Vermeidet man auch die, lässt sich eine Software deutlich besser warten und portieren.
Dank guter Tool-Unterstützung lassen sich die entsprechenden Regeln bereits während der Codeentwicklung automatisiert überprüfen. Viele integrierte Entwicklungsumgebungen (IDEs) bringen diese Unterstützung bereits mit oder lassen sich durch entsprechende Plug-ins nachrüsten. Der große Vorteil gegenüber einer nachträglichen Überprüfung, etwa in der CI-Pipeline, besteht darin ist, dass der Entwickler den Code direkt im Kontext anpassen kann, statt zu einem späteren Zeitpunkt zum fertigen Code zurückkehren zu müssen.
Daher eignen sich Coding Standards sehr gut für neuen Code. In den meisten Fällen allerdings nicht für die nachträgliche Standardisierung von existierendem Code. Das wäre in etwa so, als würde man einen spanischen Text mithilfe einer französischen Rechtschreibkorrektur ins Französische übersetzen. Am Ende hätte man zwar vermutlich einen französischen Text. Nur würde der Inhalt nicht mehr dem Originaltext entsprechen – im besten Fall. Leider ist es aber genau dieses Vorgehen, was wir in der Praxis häufig beobachten.
Ein anderes Phänomen: Coding Standards werden mit statischer Codeanalyse gleichgesetzt. Das führt tendenziell zu einem trügerischen Sicherheitsgefühl. Oft verzichtet man dann in der Folge auf SAST oder Secure Code Reviews, weil man ja bereits statische Codeanalyse einsetzt.
Tools für statische Codeanalyse
Dabei ist es ist wichtig zu verstehen, dass der Begriff der statischen Codeanalyse lediglich die grundsätzliche Methode bezeichnet. Was der Begriff nicht definiert, ist die Qualität der Ergebnisse. Mittels statischer Codeanalyse lassen sich einfache (Programmier-)Regeln nahezu in Echtzeit überprüfen, aber auch aufwändige Kontroll- und Datenflussanalysen durchführen, die auf großen Codebasen nicht selten stundenlang laufen.
Der Markt bietet eine Fülle von Tools für die statische Codeanalyse. Das macht es zuweilen schwierig, das am besten geeignete zu finden. Neben etlichen technischen und kommerziellen Aspekten sollte man sich vorrangig über den geplanten Anwendungsbereich im Klaren sein – insbesondere, ob das Tool primär für die Einhaltung von Programmierregeln oder das Aufspüren von Schwachstellen eingesetzt werden soll.
Viele Tools unterstützen beides (Coding Standards und SAST). Aber Achtung: häufig ist eines davon sozusagen die Paradedisziplin und der jeweils andere Bereich ist erst später hinzugefügt worden – setzt aber auf der gleiche Engine auf. Das führt unter Umständen zu Nachteilen in Bezug auf die Laufzeit oder die Qualität der Ergebnisse, je nachdem, welche Engine verwendet wird.
Tools, mit denen man die Einhaltung von Coding Standards überprüfen kann, arbeiten häufig musterbasiert, d.h. sie suchen nach bestimmten Codemustern, die die jeweilige Regel verletzen. Das ist normalerweise weniger aufwändig als eine vollständige Kontroll- und Datenflussanalyse und erlaubt eine schnelle Überprüfung schon im Editor oder der IDE.
SAST-Tools sind auf das Finden von Sicherheitsschwachstellen spezialisiert, und decken diese oft mittels der bereits erwähnten Taint-Analyse auf. Dabei handelt es sich um eine tiefergehende Kontroll- und Datenflussanalyse, bei der potenziell manipulierbare Daten vom Ursprung (z.B. einer CAN-Leseroutine) bis zu ihrer sicherheitskritischen Verwendung (z.B. als Eingangsparameter für die Motorsteuerung) nachverfolgt werden.
Besonders ausgefeilte SAST-Tools versuchen, potenzielle Schwachstellen zu validieren, indem sie Indizien und (falls möglich) Beweise für deren Präsenz sammeln. Dabei werden komplexe Algorithmen angewendet, um die Intention des Entwicklers zu erkennen und so die Anzahl der falsch-positiven Meldungen zu senken.
Fazit
Die Verwendung von Coding Standards ist sinnvoll und sagt etwas über die damit entwickelte Software aus – so wie ein Zahnarzt bei einem Patienten, der sich an empfohlene Maßnahmen zur Zahngesundheit hält, eine andere Erwartung hat als bei einem der dies nicht tut. Man sollte sich aber darüber im Klaren sein, dass Coding Standards keinen allumfänglichen Schutz bieten und – um bei dem Vergleich zu bleiben – den regelmäßigen Besuch beim Zahnarzt nicht ersetzen. Es ist vielmehr ein Versuch, das Know-how des Zahnarztes seinem Patienten als „Best Practice“ zur Verfügung zu stellen.
Letztendlich ist beides nötig: die Prophylaxe, aber auch der Experte. Ob es sich dabei um einen Secure Code Review eines Sicherheitsexperten handelt oder um ein SAST-Werkzeug, das hängt dann von anderen Anforderungen wie z.B. der Automatisierbarkeit ab. Kombi-Tools, die beides können, bieten Vorteile. Hier sollte man aber beide Bereiche separat evaluieren.
* Gunnar Braun ist Security Engineer bei Synopsys und unterstützt große Unternehmen bei der Erstellung von sicherer Software. Zuvor war er in verschiedenen Engineering- und Managementfunkionen im Bereich Embedded Systems, Simulation und Compilation bei CoWare tätig, einem Technologie-StartUp, das 2010 von Synopsys übernommen wurde. Er besitzt einen Diplomabschluss der RWTH Aachen.
(ID:48717013)
:quality(80)/p7i.vogel.de/wcms/48/f8/48f8a555f8c96cb2e51ee1c249995207/0112255816.jpeg "0112255816 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f1/02/f1029209461d5ad94b8ea36b863a28b6/0109110991.jpeg "Rust und Auto: (Nur) auf Software-Ebene eine gute Kombination. (Bild: <a href=https://pixabay.com/de/users/tama66-1032521/>Peter H</a>)")