Qualitätssicherung

Visuelle Sicherheitsanalyse für eingebettete Software

| Redakteur: Franz Graser

Die Datenwanderung stets im Blick: Die Visual Taint Analysis von GrammaTech visualisiert die Datenströme und lagt damit auch schwer auffindbare und potenziell gefährliche Datenpfade offen.
Die Datenwanderung stets im Blick: Die Visual Taint Analysis von GrammaTech visualisiert die Datenströme und lagt damit auch schwer auffindbare und potenziell gefährliche Datenpfade offen. (Bild: Clipdealer)

Der US-Softwerker GrammaTech kombiniert Datenfluss-Analysen von Embedded-Systemen mit einer selbst entwickelten Visualisierungstechnik. Diese Kombination soll es erlauben, schwer auffindbare und potenziell fehlerhafte Datenpfade zu ermitteln.

Die sogenannte Visual Taint Analysis steigert laut GrammaTech die Geschwindigkeit und Genauigkeit, mit der Entwickler Datenflüsse im System verfolgen können. Sie erfasst potenziell gefährliche Datenströme in C- oder C++-Anwendungen, die Entwickler von Hand kaum zuverlässig feststellen können. Nach der Identifizierung werden die möglichen Pfade der Daten in der Applikation aufgezeichnet, die zu einem unerwarteten oder unsicheren Programmverhalten führen könnten.

Durch die visuelle Darstellung der fehlerhaften Datenströme und durch das Einblenden von Fehlermarkierungen in Quellcode-Renderings sehen die Entwickler die Auswirkungen gefährlicher Eingaben auf das Verhalten ihres Codes. Beispielsweise lässt sich der Übergang gefährlicher Daten von einem Programm in ein anderes nachvollziehen. Während andere Tools im Prinzip nur Warnungen für Fehlerwerte ausgeben, zeigt die Visualisierungs-Engine bestehende Schwachstellen in einer besser nachvollziehbaren Weise auf.

„Schwachstellen aufgrund von fehlerhaften Daten sind für Entwickler meist schwer zu finden, da Anwendungen oft Code aus unterschiedlichen Quellen nutzen, wodurch unerwartete Angriffsflächen entstehen, die bösartige Hacker ausnutzen können“, skizziert Dr. Paul Anderson, Vice President Engineering bei GrammaTech. „Durch die Kombination ausgefeilter Funktionen zur Analyse fehlerhafter Daten mit unserer Visualisierungsengine können Entwickler ihre Embedded-Systeme einfacher und schneller vor den steigenden Bedrohungen durch komplexe Sicherheitslücken schützen.“.

Die Visual Taint Analysis ist im statistischen Analysewerkzeug CodeSonar enthalten. Das Tool ist für integrierte Umgebungen mit Null-Fehler-Toleranz ausgelegt und analysiert sowohl Quellcode als auch Binärcode, um Sicherheits- und Qualitätsprobleme zu identifizieren, die Systemabstürze, Speicherschäden, Datenlecks, Data Races oder unerwartete Schwachstellen verursachen können.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42569036 / Software-Test & -Betrieb)