A Simple Error: Safety, Security or both?
Aside from safety properties, can static analysis tools be used to detect security issues? Yes, as we will show by discussing a programming error in uftpd, an ftp server implemented in…
Aside from safety properties, can static analysis tools be used to detect security issues? Yes, as we will show by discussing a programming error in uftpd, an ftp server implemented in…
Der C Secure Coding Checker deckt viele der entscheidbaren Regeln von ISO/IEC TS 17961 ab.
C Secure Coding (ISO/IEC TS 17961) fokussiert wie CERT auf Security und will damit ein sicherer Codierungsstandard für C sein. Zusätzlich gibt es auch viele Überschneidungen mit MISRA C und AUTOSAR C++14. Im Gegensatz zu CERT ist die Norm ISO/IEC TS 17961 ein internationaler Standard. Damit sollte eine Stabilität der Gültigkeit der Regeln gewährleistet sein.
Axivion hat die ISO/IEC TS 17961-Regeln nach dem aktuellen Standard von 2016 implementiert. Der Einsatz der statischen Codeanalyse der Axivion Suite ermöglicht die Überprüfung der Einhaltung der ISO/IEC TS 17961 Regeln. Axivions einzigartiger Delta-Mechanismus hilft Ihnen, sich auf Ihre tägliche Arbeit zu fokussieren, nämlich sicheren Code zu schreiben und unsicheren Code zu vermeiden.
In Reviews können Software-Entwickler durch die Delta-Analyse Verstöße gegen den Codierungsstil und damit Abweichungen von den Regeln und Entwicklungsrichtlinien, die durch Sprints, Releases, Feature Branches usw. entstanden sind, einfach identifizieren.
Die Wahl der Axivion Suite fügt das richtige Softwareentwicklungstool zu Ihrer Tool-Landschaft hinzu, um Regelverletzungen zu identifizieren und damit sichere und zuverlässige Software zu gewährleisten. Neben der Security deckt die Axivion Suite auch Regeln für Software für funktionale Sicherheit mit ab, z.B.MISRA-C:2012 und AUTOSAR C++14.
Die Ergebnisse des C Secure Coding Checkers von Axivion integrieren sich in IDEs und CI-Umgebungen, so dass eine einfache Integration in Ihre Prozesse von lokalen Prüfungen bis hin zu voll ausgebauten automatisierten Prüfungen in der CI mit derselben Konfiguration und denselben Ergebnissen möglich ist.
Durch das Festlegen von Severity-Leveln von Regeln können Sie Ihre Arbeit priorisieren. Mittels Justifications lassen sich Abweichungen und Nicht-Übereinstimmungen mit den Regeln im Arbeitsprozess strukturiert und systematisch behandeln, um standardkonform zu entwickeln. Generieren Sie zur Berichterstattung Reports über die C Secure Coding-Konformität Ihres Codes.
Das Bild zeigt die Liste von Änderungen von Stilverstößen im ausgewählten Zeitfenster. Sichtbar sind einige C Secure Coding-Verstöße seit Beginn des Projekts.