Vernetzte Fahrzeuge sind nur ein Anwendungsbereich, in dem Softwaresicherheit eine tragende Rolle spielt.

Bild: iStock; oonal

Schutz von Embedded-Software Neuheiten für statische Analyse und Verwaltung von geistigem Eigentum

10.06.2022

Eine vor Angriffen, Sabotage und dem Verlust von geistigem Eigentum geschützte Software gewinnt zunehmend an Gewicht. Wie Embedded-Spezialisten auf verschiedenen Stufen ihres Entwicklungsprozesses für Sicherheit sorgen, zeigt ein DevOps-Spezialist auf der diesjährigen Embedded World.

An seinem Stand 510 in Halle 4 zeigt das Unternehmen Perforce Software auf der Embedded World seine neuen Lösungen für sichere Software. Neu im Angebot hat die Firma eine zentralisierte Oberfläche für statische Analysen sowie eine Lösung für die Verwaltung von geistigem Eigentum. Die Neuerungen richten sich insbesondere, aber nicht ausschließlich an Hersteller und Zulieferer in der Automobilindustrie und der Gesundheitsbranche. Sie sind Teil vom Perforce-Angebot für die Embedded-Entwicklung von der Definition der Anforderungen bis zur Auslieferung von Codes in den Produktivbetrieb.

Code-Analyse für die Automotive-Entwicklung

Der neue Stellenwert von Security zeigt sich nicht zuletzt im Automotive-Kontext, in dem Software in autonomen, aber auch klassischen Fahrzeugen zunehmend Einfluss auf die Funktionsweise und das Verhalten des Fahrzeugs nimmt. Dieser veränderten Situation trägt nun auch die ISO Rechnung, unter anderem in Form des ISO-Standards 21434 vom August 2021. Analog zur ISO-Norm 26262 für funktionale Sicherheit definiert dieser Regeln für Sicherheit der in Fahrzeugen genutzten Software.

Um Entwickler in diesem Kontext zu unterstützen, lanciert Perforce im Verlauf des zweiten Quartals „Validate“, ein konsolidiertes Dashboard für seine Lösungen zur statischen Analyse Helix QAC und Klocwork. Beide decken mit ihren jeweiligen Schwerpunkten unterschiedliche Szenarien ab: Helix QAC setzt auf Tiefenanalyse und ermittelt bestehende Probleme im Code, Klocwork analysiert große Codemengen umfassend und effizient. Gefundene Fehler können dann im Sinne einer Risikoanalyse priorisiert werden.

Durch die Verbindung der beiden Lösungen in einem Dashboard werden nun auch Szenarien abgebildet, in denen beide Systeme zum Einsatz kommen müssen. So kann beispielsweise Helix QAC zur Prüfung der besonders sicherheitskritischen Codebereiche, etwa von Bremssystemen, genutzt werden, während Klocwork zur Analyse der Infotainment-Systeme eines Fahrzeugs dient. Letztere bestehen nicht selten aus 25 bis 30 Millionen Codezeilen.

Sicherheit für sensibles geistiges Eigentum

Softwaresicherheit spielt auch im Healthcare-Bereich eine entscheidende Rolle. Sie bestimmt hier beispielsweise die Dosierung von Medikamenten oder sorgt für die Patientenbeatmung. Für Hersteller solcher kritischer Systeme ist es wichtig, beim Auftreten von Fehlern unmittelbar nachvollziehen können, für welche Produkte ein bestimmter fehlerhafter Codeabschnitt verwendet wurde. Darüber hinaus muss zu jedem Zeitpunkt vermieden werden, dass sensibler Quellcode in falsche Hände gerät.

Für Szenarien wie diese hat Perforce 2020 Methodics IPLM übernommen, einen Anbieter von Lösungen zur Verwaltung des gesamten Lebenszyklus sowie der Nachverfolgbarkeit geistigen Eigentums. Gemeinsam bieten die Unternehmen jetzt eine vollständig integrierte Plattform, die für höchstmögliche Sicherheit auch in der Arbeit mit weltweit verteilten Teams sorgen soll. Genutzte Codeabschnitte lassen sich jederzeit über alle Projekte hinweg rückverfolgen. Gleichzeitig verhindern standortbezogene Zugriffsbeschränkungen, die beispielsweise aufgrund von Exportkontrollen erforderlich sind („Geofencing“), dass kritisches geistiges Eigentum in unzulässige Regionen gelangt und dort für schädliche Zwecke missbraucht wird.

Vortrag zu effizienter Compliance in der DevOps-Welt

Perforce beteiligt sich auch am Konferenzprogramm der Embedded World. Unter dem Titel „Schnittpunkt von DevOps und Compliance“ diskutieren die Perforce-Experten Gerhard Krüger und Steve Howard am 22. Juni von 10:00 bis 10:30 Uhr im Ausstellerforum Halle 5, wie sich erforderliche Standards und regulatorische Anforderungen auch in einer DevOps-Kultur effizient erfüllen lassen, in der Entwicklungs-, Integrations- und Bereitstellungsprozesse iterativ und damit deutlich schneller ablaufen als in klassisch linearen Szenarien. Dazu beleuchten sie unter anderem, wie die Prinzipien der DevOps-Automatisierung dabei helfen, die Einhaltung von Standards zu unterstützen, Prozesse und Bereitstellung zu verbessern sowie Unternehmen eine effiziente Skalierung zu ermöglichen.

Firmen zu diesem Artikel
Verwandte Artikel