:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Mehr Sicherheit im App-Store Statische Analyse bei Objective-C
Objective-C ist im Apple-Universum besonders beliebt, doch wie bei allen C-Derivaten leidet auch hier die Sicherheit unter strukturellen Mängeln. Statische Code-Analysen können die Code-Qualität deutlich verbessern und die Time to Market senken.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Wer Anwendungen für iOS und macOS entwickelt, kommt um die Programmiersprache Objective-C – oft als ObjC abgekürzt – in der Regel nicht herum. Sie ist schon lange der Standard im Apple-Universum und wird auch auf absehbare Zeit wohl nicht von Swift verdrängt werden: Laut der Stack Overflow Developer Survey 2017 arbeiten weltweit 7,3 Prozent der professionellen Entwickler bevorzugt mit ObjC. Damit liegt Objective-C zwar weit hinter C++ oder C#, im Apple-Universum hingegen deutlich vor Swift.
Was Freunde der Plattformen von Apple nicht gerne hören: ObjC hat nicht nur Syntax, Performance und Universalität von C geerbt – sondern auch die strukturellen Schwächen, die Anwendungen angreifbar machen. Die Konzepte von C und seinen prominenten Nachfahren C++ und ObjC stammen aus der Vor-Internet-Ära, als die meisten heutigen Angriffsvektoren schlicht nicht möglich waren.
Heute jedoch sind Speicherzugriffsfehler wie Buffer Overruns oder Null-Pointer-Dereferenzierungen der meistgenutzte Angriffsweg, um Schadcode in ein System einzuschleusen. Und gleichzeitig werden Apps und Anwendungen innerhalb der Unternehmen immer kritischer für funktionierende Geschäftsprozesse.
Auch wenn Apple in den vergangenen Jahren massiv an der Sicherheit des gesamten Ökosystems gearbeitet hat, finden sich nach wie vor in vielen Apps und auch in den Betriebssystemen zahlreiche Fehler. Für das Jahr 2017 wies die CVE-Datenbank über 550 Verwundbarkeiten bei Apples eigenen Produkten aus, gut die Hälfte davon erlaubt das Ausführen von fremdem Code. Und auch die Apps von Drittanbietern sind nicht immun gegen Fehler oder Angriffe.
Xcode Add-on für Clang
Apple hat darauf bereits vor einiger Zeit reagiert und in seiner Entwicklungsumgebung ein Add-On für Clang hinzugefügt, das die statische Analyse erlaubt. Das Tool ist kostenlos und gut in Xcode integriert. Für große, komplexe oder verteilte Projekte jedoch fehlen zahlreiche Merkmale wie etwa interprozedurale oder pfadsensitive Analysen.
Abhilfe schafft hier ein umfassendes Analyse-Tool, das für Software-Entwicklung auf Enterprise-Niveau ausgelegt ist; so man eines findet, denn der Markt für Analyse-Tools für ObjC ist noch recht überschaubar. Der Grund dafür dürfte zum einen der vergleichsweise geringe Marktanteil von ObjC sein, zum anderen die Sprache Objective-C selbst.
Das Problem dabei: Um ObjC-Code genau zu untersuchen, reicht es nicht, sich auf den Teil des Codes zu beschränken, der C/C++ gleicht. Denn ObjC hat mit dem Message-Konzept eine Eigenart, die für die Code-Analyse sehr herausfordernd ist: Funktionen werden in ObjC über Messages aufgerufen, die erst zur Laufzeit gebunden werden.
Eine Message ist dabei eine Methode mit allen dazugehörigen Parametern, die an ein Objekt geschickt und von diesem ausgeführt werden. Die Methode, die dabei angewandt wird, wird vom Laufzeitsystem anhand der im Objekt verfügbaren Methoden ausgewählt. Hier weicht ObjC massiv von C++ ab.
Ein einfaches Beispiel dafür:
#import <Foundation/Foundation.h>@interface Base : NSObject
-(int)getBaseNumber;
@end@implementation Base
-(int)getBaseNumber {
return 10;
}
@end@interface Foo : Base
-(int)getNumber;
@end@implementation Foo
-(int)getNumber {
return -10;
}
@endint main() {
Foo *foo = [[Foo alloc] init];
int ten = [foo getBaseNumber];
int minus_ten = [foo getNumber];
int dbz = 1 / (ten + minus_ten);
return 0;
}
Im Zuge der statischen Code-Analyse wird der Code nicht ausgeführt, sondern als Modell mit allen Daten- und Steuerungsflüssen durchlaufen. Das Analyse-Tool muss bei ObjC also eine Annahme über das Ziel der Message treffen und den Codepfad untersuchen, um mögliche Fehler aufzudecken. Das obige Beispiel etwa würde eine Division durch Null ergeben.
Analyse großer Software-Projekte
Es ist also grundsätzlich nicht trivial, ObjC-Code genau zu analysieren. Was in einfachen App-Projekten noch funktioniert, stößt spätestens bei geschäftskritischen Anwendungen für iOS und macOS an seine Grenzen. Denn hier muss nicht nur ein einzelnes Code-Paket analysiert werden, sondern das Testing sollte idealerweise entlang des Software Development Lifecycle als fortlaufender Prozess implementiert sein, der alle Entwicklungsteams umfasst.
Dabei sollte zudem nicht vergessen werden, dass auch bei Anwendungen für Apple-Plattformen immer mehr Code von Dritten zugeliefert wird. Dieser liegt häufig binär vor, etwa bei Krypto-Tools oder Bibliotheken. Je kritischer Software auf den unterschiedlichsten Geräten für den Unternehmensbetrieb wird, desto mehr muss die Sicherheit der Anwendungen ins Zentrum der Entwicklung rücken.
Das klassische Testing stößt bei der heutigen Komplexität der Software-Projekte an seine Grenzen. Statische Analyse kann hier Abhilfe schaffen. Sie ist bereits in frühen Projektphasen nutzbar und kann so als feste, automatisierbare Sicherheitsinstanz innerhalb der Entwicklung dabei helfen, schneller besseren Code zu produzieren. Der dann nicht in der CVE-Datenbank auftaucht.
* Mark Hermeling ist Senior Director Marketing bei GrammaTech, Inc.
Artikelfiles und Artikellinks
(ID:45078474)
:quality(80)/p7i.vogel.de/wcms/4c/30/4c30ed9e142fcf905e681bf32a01a688/0110802466.jpeg "PyCharm eignet sich als IDE für die objektorientierte Entwicklung mit Python. (Bild: Joos / Jetbrains)")
:quality(80)/p7i.vogel.de/wcms/5e/d6/5ed6295a936c38aefce9da4512c34692/0113337647.jpeg "Software-Stücklisten helfen dabei, die verwendeten Open-Source- und Drittanbieter-Komponenten im Blick zu behalten. (© Song_about_summer - stock.adobe.com)")