Links auf weitere News:
Firma
Testwell CMT++/CMTJava
Testwell CTC++
CodeSentry
CodeSonar
Imagix
Events/Seminare
ALLE NEWS
GrammaTech schützt kritische Software vor Spectre
(Ithaca, New York/USA, Offenburg, 12. Januar 2017)
GrammaTech, Anbieter des Statischen Codeanalysetools CodeSonar hat seine Cyber Hardening Services für Intel- und AMD-Prozessoren um den Schutz vor Spectre-Angriffen erweitert.
Hiermit können bestehende Anwendungen gegen die jüngst bekannt gewordenen Angriffe auf die Sprungvorhersage - so genannte Branch Target Injection Attacks - geschützt werden, ohne die Applikation neu zu kompilieren. Für Sicherheits-Profis wurden mit Spectre Branch Target Injections quasi über Nacht zu einem wichtigen Thema. Die jüngst veröffentlichte Sicherheitslücke in modernen Prozessoren kann dazu ausgenutzt werden, vertrauliche Informationen zu stehlen. Die Cyber-Community bemüht sich massiv, Patches für die meistgenutzten Compiler bereit zu stellen, um Angriffe zu unterbinden. Allerdings ist es in Bereichen wie IoT, Verteidigung, Medizintechnik, Industrie oder Consumer nicht immer möglich, Anwendungen und Firmware-Source-Code neu zu kompilieren. Hier bleiben die Systeme angreifbar, vertrauliche Informationen wie persönliche Daten oder Passwörter können aus ansonsten fehlerfreien Anwendungen entwendet werden.
Mit den Cyber Hardening Services von GrammaTech können kritische Anwendungen und Bibliotheken gegen Spectre-Angriffe geschützt werden. Der Service nutzt Binäranalyse, um angreifbare Bereiche im Code zu identifizieren und transformiert dann die Binärdateien der Anwendung mit sicherem Code für die betreffenden Bereiche.
Hiermit können bestehende Anwendungen gegen die jüngst bekannt gewordenen Angriffe auf die Sprungvorhersage - so genannte Branch Target Injection Attacks - geschützt werden, ohne die Applikation neu zu kompilieren. Für Sicherheits-Profis wurden mit Spectre Branch Target Injections quasi über Nacht zu einem wichtigen Thema. Die jüngst veröffentlichte Sicherheitslücke in modernen Prozessoren kann dazu ausgenutzt werden, vertrauliche Informationen zu stehlen. Die Cyber-Community bemüht sich massiv, Patches für die meistgenutzten Compiler bereit zu stellen, um Angriffe zu unterbinden. Allerdings ist es in Bereichen wie IoT, Verteidigung, Medizintechnik, Industrie oder Consumer nicht immer möglich, Anwendungen und Firmware-Source-Code neu zu kompilieren. Hier bleiben die Systeme angreifbar, vertrauliche Informationen wie persönliche Daten oder Passwörter können aus ansonsten fehlerfreien Anwendungen entwendet werden.
Mit den Cyber Hardening Services von GrammaTech können kritische Anwendungen und Bibliotheken gegen Spectre-Angriffe geschützt werden. Der Service nutzt Binäranalyse, um angreifbare Bereiche im Code zu identifizieren und transformiert dann die Binärdateien der Anwendung mit sicherem Code für die betreffenden Bereiche.
VDC Research Report: Markt für Automatische Testtools und Statische Analysetools wächst
(Ithaca, New York/USA, Offenburg, 15. Dezember 2017)
Aus dem VDC-Report "The Global Market for Automated Software & Security Testing Tools" geht hervor, dass der Markt für Automatische Testtools und Statische Analysetools wächst. Software-Entwickler sind davon überzeugt, dass frühes Aufdecken und Fixen von Bugs und Sicherheitslücken große Vorteile bezüglich Kosten, Entwicklungszeit sowie Produkt-Qualität und -Sicherheit hat.
Der Report beschreibt, dass 82.3% der Statischen Analyse Tools in Enterprise und IT-Märkten und 45.5% der Statischen Tools in Embedded und IoT-Märkten für Zwecke der äußeren Sicherheit eingesetzt werden.
Trotz dieses Wachstums wird für die Vermeidung von Sicherheitsrisiken immer noch nicht genug getan. 22,9% der Embedded- und IoT-Entwickler geben an, keine Maßnahmen zu ergreifen um potentielle Sicherheitsprobleme zu vermeiden. Hier sind mehr Problembewußtsein und entsprechende Maßnahmen erforderlich.
Neben vielen Aussagen zum Markt für automatisierte Testtools, gibt der Report folgende Informationen zur Statischen Codeanalyse:
Der Report beschreibt, dass 82.3% der Statischen Analyse Tools in Enterprise und IT-Märkten und 45.5% der Statischen Tools in Embedded und IoT-Märkten für Zwecke der äußeren Sicherheit eingesetzt werden.
Trotz dieses Wachstums wird für die Vermeidung von Sicherheitsrisiken immer noch nicht genug getan. 22,9% der Embedded- und IoT-Entwickler geben an, keine Maßnahmen zu ergreifen um potentielle Sicherheitsprobleme zu vermeiden. Hier sind mehr Problembewußtsein und entsprechende Maßnahmen erforderlich.
Neben vielen Aussagen zum Markt für automatisierte Testtools, gibt der Report folgende Informationen zur Statischen Codeanalyse:
- eine allgemeine Empfehlung, die statische Analyse in ein automatisiertes Testportfolio aufzunehmen,
- Statische Analyse-Tools sind oft einfacher zu implementieren als andere automatisierte Test-Tools und damit ein guter Einstiegspunkt zur Erhöhung der Codequalität,
- die Wiederverwendung bzw. Verwendung von Code von Drittanbietern in eingebetteten Projekten wächst weiter und die Nutzung der anfänglich noch wenig verwendeten Binäranalyse steigt rapide.
GrammaTech CodeSonar 4.5 mit Fokus auf Cybersecurity verfügbar
(Ithaka/New York/USA, Offenburg, 11. Dezember 2017)
Version 4.5 des Tools zur statischen Codeanalyse, GrammaTech CodeSonar, ist nun erhältlich. Die neue Version verfügt über eine „Rapid Development“ Umgebung, neue Codeüberprüfungen, um Cyber-Kriminalität zu begegnen und eine verbesserte Unterstützung für Fließkommaarithmetik.
CodeSonar 4.5 führt eine Reihe umfangreicher Verbesserungen und neuer Features für Software Teams ein, um einen sicheren Softwareentwicklungslebenszyklus (SDLC) zu gewährleisten. C++ und Python APIs helfen Software Teams schnell domänenspezifische Tests zu erstellen, um ihre Design Invarianten von CodeSonar bewertbar zu machen. Zudem ist eine API verfügbar, um schnellstmöglich neue Compiler unterstützen zu können.
Eine verbesserte Fließkommaarithmetik läßt CodeSonar mehr Fehler in Code-Pfaden finden, die auf Entscheidungen beruhen, die sich auf Fließkommaberechnungen gründen. Um Unternehmen im Kampf gegen steigende Cyber-Kriminalität von innen zu helfen, decken neue Checker bösartigen Code auf, der absichtlich oder versehentlich in den Code integriert wurde. Nach einer IBM Studie sind 32% der Angreifer Firmenangehörige und 24% „unbeabsichtigte Akteure“ (z.B. Menschen, die Fehler machen, welche zum Systemabsturz oder zu Fehlverhalten führen). Verdächtiger Code wird von den neuen Checkern hervorgehoben, bevor er zum Problem im eingesetzten System wird. Eine kostenlose 30-tägige Evaluierung von CodeSonar 4.5 ist auf Anfrage möglich.
CodeSonar 4.5 führt eine Reihe umfangreicher Verbesserungen und neuer Features für Software Teams ein, um einen sicheren Softwareentwicklungslebenszyklus (SDLC) zu gewährleisten. C++ und Python APIs helfen Software Teams schnell domänenspezifische Tests zu erstellen, um ihre Design Invarianten von CodeSonar bewertbar zu machen. Zudem ist eine API verfügbar, um schnellstmöglich neue Compiler unterstützen zu können.
Eine verbesserte Fließkommaarithmetik läßt CodeSonar mehr Fehler in Code-Pfaden finden, die auf Entscheidungen beruhen, die sich auf Fließkommaberechnungen gründen. Um Unternehmen im Kampf gegen steigende Cyber-Kriminalität von innen zu helfen, decken neue Checker bösartigen Code auf, der absichtlich oder versehentlich in den Code integriert wurde. Nach einer IBM Studie sind 32% der Angreifer Firmenangehörige und 24% „unbeabsichtigte Akteure“ (z.B. Menschen, die Fehler machen, welche zum Systemabsturz oder zu Fehlverhalten führen). Verdächtiger Code wird von den neuen Checkern hervorgehoben, bevor er zum Problem im eingesetzten System wird. Eine kostenlose 30-tägige Evaluierung von CodeSonar 4.5 ist auf Anfrage möglich.
Statische Analyse: Interview mit Paul Anderson, Vice President of Engineering bei GrammaTech in New York
(Ithaca/New York/USA, Offenburg, 27 September 2017)
> Hören Sie sich das Interview hier an
VDC Forschung und Internetsicherheit in Bezug auf Industrie 4.0
(Offenburg, Ithaca, New York/USA, 15. August 2017)
VDC empfiehlt eine "Sicherheit durch Design"- Methode anzuwenden, welche sowohl die Qualität als auch Sicherheit garantiert, bezogen auf die verstärkt genutzten open-source, re-used, und third party Codes. Ein automatisiertes Werkzeug wie CodeSonar, kann sowohl Quell- als auch Binärcode analysieren, um Mängel und Schadenspotenzial aufzuspüren. Dies wird zunehmend wichtiger bezogen auf die Softwareentwicklung und Umsetzung für die neue Herangehensweise.
Dieser Bericht zeigt wesentliche Empfehlungen auf, welche die Qualität und Sicherheit in Hinblick auf die zunehmenden Sicherheitsanforderungen verbessern. > mehr Informationen
Lesen Sie den VDC Report hier.
Anwendungsspezifische und benutzerdefinierte Fehlerüberprüfung in fortschrittlichen statischen Analysetools
Fortschrittliche statische Analysewerkzeuge verfügen über Möglichkeiten benutzerdefinierte und anwendungsspezifische Checks durchführen zu können, sei es durch Konfigurationsoptionen oder mittels Zurverfügungstellung einer Programmierschnittstelle.
Vorliegender Artikel vermittelt eine kurze Übersicht über die Funktionsweise maßgeschneiderter Checker innerhalb eines statischen Analysetools, sowie deren Implementierung und Anwendungsmöglichkeiten. Mehr Informationen hier
Der VDC Report empfiehlt den Security-First-Ansatz
(Offenburg, Ithaca, New York/USA, 26 Juli 2017)
VDC empfiehlt einen Security-First-Ansatz, bei dem die Qualität und Sicherheit zunehmender open-source, re-used und third party Codes sichergestellt wird. Ein selbstständiges Tool wie CodeSonar, das sowohl Binary als auch Source Code analysieren kann um Fehler und Sicherheitslücken zu finden, erlangt zunehmend an Bedeutung bei diesem neuen Ansatz.
Der Report liefert wichtige Empfehlungen um die Qualität und Sicherheit in dieser zunehmend anspruchsvollen Ära der Softwaresicherheit zu verbessern. Weitere Informationen über den Security-First-Ansatz finden Sie hier:
- Lesen Sie unseren Blog: A Four-Step Guide to Security Assurance for IoT Devices
- Lernen Sie mehr über: Analyzing third party binary code
- Schauen Sie sich ein Video an über die Vorteile, die CodeSonar Ihnen bei Ihrer Softwareentwicklung bringt
GrammaTech verkündet Integration von CodeSonar in Wind River Workbench zur Verbesserung der Qualität und zum Schutz von IoT-Geräten
Dank dieser Integration können Entwickler Softwareanfälligkeiten innerhalb der Workbench beheben und so die Produktivität signifikant erhöhen. Das ursprüngliche Wind River VxWorks Betriebssystem wird ebenso gut unterstützt wie POSIX API, CodeSonar stellt dabei eine hilfreiche Erweiterung dar. Es bietet die Fähigkeit Sicherheits- und Qualitätsprobleme zu finden, speziell im Bereich der Multi-Core Entwicklungen. Das Programm identifiziert Bugs, welche zu Systemabstürzen führen können oder Sicheitslücken hervorbringen, was zum markenschädigenden Problem werden kann. Die Integration macht aus CodeSonar und der Wind River Workbench eine ideale Einheit zur Softwareoptimierung.
Hier vollständigen Text lesen oder Video ansehen.
GrammaTech-Video zeigt Vorteile der Advanced Static Code Analysis im Vergleich zu „einfachen“ Analysetools
(Ithaca/New York, Offenburg, 6. April 2017)
Verifysoft mit Vortrag zur statischen Analyse auf der Embedded Testing München
(Offenburg, 30. März 2017)
Die Embedded Tesing ist eine Konferenz, bei der das Testen im Embedded Umfeld im Vordergrund steht. Royd Lüdtke, Direktor für statische Analysetools bei Verifysoft, gibt bei seinem Vortrag "Risiko Binärdatei? – Einsatz von Werkzeugen zur statischen Analyse nicht nur für den Quellcode." wertvolle Hilfestellungen für Firmen, die statische Codeanalyse einsetzen wollen. Neben Vorträgen zur statischen Codeanalyse bietet die Konferenz auch zahlreiche Präsentationen zur dynamischen Analyse und zum Thema Clean Code. Im Rahmen der Fachausstellung können sich die Teilnehmer über aktuelle Trends im Testing und effiziente Testtools informieren. > weitere Informationen
Rückblick auf den 4. Static Code Analysis Day
(Offenburg, 22. März 2017)
Professor Dr. Daniel Fischer von der Hochschule Offenburg, Dr. Paul Anderson (Vice President of Engineering bei GrammaTech in New York) und Royd Lüdtke von Verifysoft zeigten, wie durch den Einsatz von statischer Codeanalyse die Softwarequalität effizient verbessert wird und wie sich durch das schnelle Finden von Fehlern ein enormes Kosteneinsparungspotential ergibt. Die Teilnehmer erfuhren mehr über die Vorteile der "Advanced Static Code Analysis" im Vergleich zu herkömmlichen Analysewerkzeugen.
94% der Besucher können die Inhalte in ihrer täglichen Arbeit direkt anwenden und empfehlen den Static Code Analysis Day weiter. Bei 88% der Teilnehmer wurden die Erwartungen sogar übertroffen.
Der nächste Static Code Analysis Day wird am Dienstag, 6. März 2018 wieder in Offenburg stattfinden.
Lesen Sie jetzt den Rückblick auf den 4. Static Analysis Day.
Verifysoft auf der Embedded World: Jetzt Video ansehen!
(Nürnberg, 16. März 2017)
Unsere Tools decken die Anforderungen von Normen wie DO-178C, EN 50128, IEC 61508, 62304 und ISO 26262 ab und sind in zahlreichen Projekten mit sicherheitskritischer Softwareentwicklung im Einsatz.
Verifysoft bietet unter anderem Werkzeuge für die Statische Codeanalyse, Dynamische Tests und für Code Coverage Messungen an.
Erfahren Sie mehr und sehen Sie hier unser Video an!
GrammaTech kündigt CodeSonar 4.5 mit Risk-Dashboard an
(Ithaca, New York/USA, Offenburg/Germany, 9 March 2017)
GrammaTech kündigte heute die Verfügbarkeit des Risk-Dashboards in CoderSonar 4.5 an. Die neue Version des führenden statischen Codeanalysetools wird im zweiten Quartal dieses Jahres herausgegeben werden.
Das Risk-Dashboard ist eine neue Funktion, dank der Anwender einen direkten Readout über die Sicherheitsrisiken eines Projekts erhalten. Es liefert Daten, mit deren Hilfe die Entscheidungsfindung für Sicherheitsinvestitionen verbessert wird. Das Risk-Dashboard unterstützt Source- sowie Binary-Analysis. Es kann genutzt werden um das Risiko während der Softwareentwicklung und in der Anwendungsumgebung zu messen.
Das Risk-Dashboard ist eine neue Funktion, dank der Anwender einen direkten Readout über die Sicherheitsrisiken eines Projekts erhalten. Es liefert Daten, mit deren Hilfe die Entscheidungsfindung für Sicherheitsinvestitionen verbessert wird. Das Risk-Dashboard unterstützt Source- sowie Binary-Analysis. Es kann genutzt werden um das Risiko während der Softwareentwicklung und in der Anwendungsumgebung zu messen.
CIO Review Magazine: GrammaTech als einer der 50 meist aussichtsreichen IoT-Lösungsanbieter
(Ithaca, New York/USA, Offenburg/Germany, 23 January 2017)
GrammaTech wurde im CIO Review Magazine als einer der 50 meist aussichtsreichen IoT- Lösungsanbieter 2016 genannt.
Die Liste der IoT-Lösungsanbieter wurde von einem Expertengremium und Mitgliedern der Redaktion des CIO Review erstellt. GrammaTechs IoT Lösungen wurden aufgrund ihrer außergewöhnlichen Nutzen für den heutigen IoT-getriebenen Markt ausgewählt.
Dank hoher Innovationen und intensiven Recherchen sind GrammaTechs Lösungen ideal um den Herausforderungen heutiger Software gerecht zu werden.
In der Industrie wird heute immer mehr durch Software kontrolliert und Anwendungen werden vernetzt. Hierdurch wird und immer mehr Software anfällig und kann gehackt werden. Entwickler brauchen daher immer bessere Tools um vernetzte Anwendungen zu liefern, die sicher sind. Bei GrammTech arbeiten 20 Professoren stetig an der Verbesserung der Software-Analyse und des Software-Tests. Durch innovative Recherchen und fortschrittliche Technologien lösen GrammaTechs Software Experten die Herausforderngen des Embedded-, M2M- und IoT-Geschäfts.
Die Liste der IoT-Lösungsanbieter wurde von einem Expertengremium und Mitgliedern der Redaktion des CIO Review erstellt. GrammaTechs IoT Lösungen wurden aufgrund ihrer außergewöhnlichen Nutzen für den heutigen IoT-getriebenen Markt ausgewählt.
Dank hoher Innovationen und intensiven Recherchen sind GrammaTechs Lösungen ideal um den Herausforderungen heutiger Software gerecht zu werden.
In der Industrie wird heute immer mehr durch Software kontrolliert und Anwendungen werden vernetzt. Hierdurch wird und immer mehr Software anfällig und kann gehackt werden. Entwickler brauchen daher immer bessere Tools um vernetzte Anwendungen zu liefern, die sicher sind. Bei GrammTech arbeiten 20 Professoren stetig an der Verbesserung der Software-Analyse und des Software-Tests. Durch innovative Recherchen und fortschrittliche Technologien lösen GrammaTechs Software Experten die Herausforderngen des Embedded-, M2M- und IoT-Geschäfts.