:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/6e/456e267b716932fdb332be968e593118/0110255660.jpeg "Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas. (Symbolbild:tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
„Next Generation runC“ für eigene Container nutzen :quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/d9/2ed91d40782848e566b17756be9d0be0/0109334017.jpeg "Autoscaling steht im Gegensatz zum klassischen Hosting, für welches ein festgelegtes Leistungskontingent gebucht wird. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/4b/5f/4b5f3bc0250747a0be176f75251b855b/0109875780.jpeg "Um die Komplexität dynamischer Cloud-Bereitstellung zu durchblicken, sollten Verantwortliche geeignete Hilfsmittel strategisch einsetzen. Das schlägt sich dann auch schnell in barer Münze nieder. (Bild: 2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/66/99664bb4deaa0658bb63829dc519ce37/0109263207.jpeg "Kein Ansatz für sich allein genommen eignet sich perfekt zur Produktivitätsmessung. Doch es stehen Optionen bereit, die sich den Anforderungen nähern können. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/e3/de/e3de24c10c696d41a2d2533020b59380/0109751159.jpeg "Vor dem Einsatz eines API-Typs sollte man die verfügbaren Ressourcen analysieren und die Anforderung der Anwendung genau definieren. (Bild: © vector_v - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Mehr Sicherheit im App-Store Statische Analyse bei Objective-C
Objective-C ist im Apple-Universum besonders beliebt, doch wie bei allen C-Derivaten leidet auch hier die Sicherheit unter strukturellen Mängeln. Statische Code-Analysen können die Code-Qualität deutlich verbessern und die Time to Market senken.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3- (Fastly)"){kind=logo}
Wer Anwendungen für iOS und macOS entwickelt, kommt um die Programmiersprache Objective-C – oft als ObjC abgekürzt – in der Regel nicht herum. Sie ist schon lange der Standard im Apple-Universum und wird auch auf absehbare Zeit wohl nicht von Swift verdrängt werden: Laut der Stack Overflow Developer Survey 2017 arbeiten weltweit 7,3 Prozent der professionellen Entwickler bevorzugt mit ObjC. Damit liegt Objective-C zwar weit hinter C++ oder C#, im Apple-Universum hingegen deutlich vor Swift.
Was Freunde der Plattformen von Apple nicht gerne hören: ObjC hat nicht nur Syntax, Performance und Universalität von C geerbt – sondern auch die strukturellen Schwächen, die Anwendungen angreifbar machen. Die Konzepte von C und seinen prominenten Nachfahren C++ und ObjC stammen aus der Vor-Internet-Ära, als die meisten heutigen Angriffsvektoren schlicht nicht möglich waren.
Heute jedoch sind Speicherzugriffsfehler wie Buffer Overruns oder Null-Pointer-Dereferenzierungen der meistgenutzte Angriffsweg, um Schadcode in ein System einzuschleusen. Und gleichzeitig werden Apps und Anwendungen innerhalb der Unternehmen immer kritischer für funktionierende Geschäftsprozesse.
Auch wenn Apple in den vergangenen Jahren massiv an der Sicherheit des gesamten Ökosystems gearbeitet hat, finden sich nach wie vor in vielen Apps und auch in den Betriebssystemen zahlreiche Fehler. Für das Jahr 2017 wies die CVE-Datenbank über 550 Verwundbarkeiten bei Apples eigenen Produkten aus, gut die Hälfte davon erlaubt das Ausführen von fremdem Code. Und auch die Apps von Drittanbietern sind nicht immun gegen Fehler oder Angriffe.
Xcode Add-on für Clang
Apple hat darauf bereits vor einiger Zeit reagiert und in seiner Entwicklungsumgebung ein Add-On für Clang hinzugefügt, das die statische Analyse erlaubt. Das Tool ist kostenlos und gut in Xcode integriert. Für große, komplexe oder verteilte Projekte jedoch fehlen zahlreiche Merkmale wie etwa interprozedurale oder pfadsensitive Analysen.
Abhilfe schafft hier ein umfassendes Analyse-Tool, das für Software-Entwicklung auf Enterprise-Niveau ausgelegt ist; so man eines findet, denn der Markt für Analyse-Tools für ObjC ist noch recht überschaubar. Der Grund dafür dürfte zum einen der vergleichsweise geringe Marktanteil von ObjC sein, zum anderen die Sprache Objective-C selbst.
Das Problem dabei: Um ObjC-Code genau zu untersuchen, reicht es nicht, sich auf den Teil des Codes zu beschränken, der C/C++ gleicht. Denn ObjC hat mit dem Message-Konzept eine Eigenart, die für die Code-Analyse sehr herausfordernd ist: Funktionen werden in ObjC über Messages aufgerufen, die erst zur Laufzeit gebunden werden.
Eine Message ist dabei eine Methode mit allen dazugehörigen Parametern, die an ein Objekt geschickt und von diesem ausgeführt werden. Die Methode, die dabei angewandt wird, wird vom Laufzeitsystem anhand der im Objekt verfügbaren Methoden ausgewählt. Hier weicht ObjC massiv von C++ ab.
Ein einfaches Beispiel dafür:
#import <Foundation/Foundation.h>@interface Base : NSObject
-(int)getBaseNumber;
@end@implementation Base
-(int)getBaseNumber {
return 10;
}
@end@interface Foo : Base
-(int)getNumber;
@end@implementation Foo
-(int)getNumber {
return -10;
}
@endint main() {
Foo *foo = [[Foo alloc] init];
int ten = [foo getBaseNumber];
int minus_ten = [foo getNumber];
int dbz = 1 / (ten + minus_ten);
return 0;
}
Im Zuge der statischen Code-Analyse wird der Code nicht ausgeführt, sondern als Modell mit allen Daten- und Steuerungsflüssen durchlaufen. Das Analyse-Tool muss bei ObjC also eine Annahme über das Ziel der Message treffen und den Codepfad untersuchen, um mögliche Fehler aufzudecken. Das obige Beispiel etwa würde eine Division durch Null ergeben.
Analyse großer Software-Projekte
Es ist also grundsätzlich nicht trivial, ObjC-Code genau zu analysieren. Was in einfachen App-Projekten noch funktioniert, stößt spätestens bei geschäftskritischen Anwendungen für iOS und macOS an seine Grenzen. Denn hier muss nicht nur ein einzelnes Code-Paket analysiert werden, sondern das Testing sollte idealerweise entlang des Software Development Lifecycle als fortlaufender Prozess implementiert sein, der alle Entwicklungsteams umfasst.
Dabei sollte zudem nicht vergessen werden, dass auch bei Anwendungen für Apple-Plattformen immer mehr Code von Dritten zugeliefert wird. Dieser liegt häufig binär vor, etwa bei Krypto-Tools oder Bibliotheken. Je kritischer Software auf den unterschiedlichsten Geräten für den Unternehmensbetrieb wird, desto mehr muss die Sicherheit der Anwendungen ins Zentrum der Entwicklung rücken.
Das klassische Testing stößt bei der heutigen Komplexität der Software-Projekte an seine Grenzen. Statische Analyse kann hier Abhilfe schaffen. Sie ist bereits in frühen Projektphasen nutzbar und kann so als feste, automatisierbare Sicherheitsinstanz innerhalb der Entwicklung dabei helfen, schneller besseren Code zu produzieren. Der dann nicht in der CVE-Datenbank auftaucht.
* Mark Hermeling ist Senior Director Marketing bei GrammaTech, Inc.
Artikelfiles und Artikellinks
(ID:45078474)
:quality(80)/images.vogel.de/vogelonline/bdb/1883000/1883014/original.jpg "Mit Gnuplot ist es möglich, Graphen und Diagramme zu zeichnen. (Lang / GNUplot)")
:quality(80)/images.vogel.de/vogelonline/bdb/1902600/1902633/original.jpg "(gemeinfrei)")