Sichere Vernetzung „Embedded Security“ beginnt bei der Entwicklung

Starke Vernetzung macht das Leben einfacher – bietet Cyberkriminellen aber auch mehr potenzielle Angriffspunkte für Attacken aus der Ferne und physische Angriffe, wenn die unterschiedlichen Kommunikationsströme nicht sauber voneinander getrennt sind.

Bild: iStock, da-kuk
20.03.2024

Mehr Vernetzung bedeutet mehr Chancen und Möglichkeiten, aber auch mehr Komplexität, Fehlerquellen und Angreifbarkeit. „Embedded Security“ ist aktuell eines der wichtigsten Themen in der Embedded-Branche und beginnt schon bei der Entwicklung eingebetteter Systeme, insbesondere ihres Softwareanteils. An seinem Stand 4-150 zeigt der DevOps-Spezialist Perforce Software auf der Embedded World 2024 vom 9. bis 11. April in Nürnberg, wie Entwicklungsteams von Embedded-Systemen die Sicherheit und Compliance des Softwarecodes dauerhaft erhöhen können.

Eingebettete Systeme sind heute stärker vernetzt als je zuvor. Man denke nur an die wachsende Anzahl von Kameras und Sensoren im Auto oder Lkw, aber auch von externen mobilen Geräten, die sich mit Infotainmentsystemen verbinden und alle zusammen über dasselbe Netzwerk kommunizieren. Das macht unser Leben einfacher und komfortabler, bietet Cyberkriminellen aber auch mehr potenzielle Angriffspunkte für Attacken aus der Ferne und physische Angriffe, wenn die unterschiedlichen Kommunikationsströme nicht sauber voneinander getrennt und abgeschottet sind. Je mehr die vernetzten eingebetteten Systeme auch Steuerungsaufgaben übernehmen – zum Beispiel in Fahrzeugen oder medizinisch-technischen Geräten – desto dringlicher und notwendiger wird das Thema eingebettete Sicherheit. Nicht nur, um personenbezogene Daten und intellektuelles Eigentum zu schützen, sondern auch und vor allem um Gefahr für Leib und Leben abzuwenden.

Die meisten Software-Sicherheitsprobleme sind die Folge von Kodierungsfehlern. Entwicklungsteams benötigen deshalb Werkzeuge und Anleitungen, um Sicherheitslücken bereits in einem frühen Stadium der Softwareentwicklung zu vermeiden. Je früher Softwarefehler oder Sicherheitslücken entdeckt und behoben werden, desto schneller, einfacher, zuverlässiger und sicherer ist der Code.

Flexibler und sicherer entwickeln: MISRA C++:2023

Eine wachsende Zahl von Regulierungen dient dem Zweck, von Anfang an Sicherheit in eingebettete Systeme einzubauen. Die MISRA-Richtlinien zum Beispiel bieten Codierungsstandards für die Entwicklung sicherheitskritischer Systeme in der Automobilindustrie, um das Schutzniveau im doppelten Sinn von Safety und Security zu erhöhen. Die neueste im Oktober 2023 veröffentlichte Version des Standards, „MISRA C++:2023 Guidelines for the use of C++:17 in critical systems“, berücksichtigt das Entwickeln mit aktuellen C++-Versionen bis C++17 und bezieht auch die Richtlinien des AUTOSTAR-Standards ein.

Als Gründungsmitglied der MISRA-Arbeitsgruppen unterstützt Perforce Software mit den aktuellen Versionen seiner Lösungen für statische Code-Analyse Klocwork und Helix QAC die neueste MISRA-Version. Die Lösungen sorgen für Compliance, Sicherheit und Qualität, indem sie kontextbezogene Ergebnisse, Risikopriorisierung auf Basis maschinellen Lernens, detaillierte Projektanalysen und Unterstützung bei der Behebung von Sicherheitslücken in verschiedenen Codebasen beliebigen Umfangs liefern.

Mithilfe der Lösungen für statische Code-Analyse Klocwork und Helix QAC können Entwicklungsteams die MISRA-Standards für sichere eingebettete Software zuverlässig erfüllen und die Compliance jederzeit lückenlos nachweisen. Die Produktivität in der Entwicklung steigt, Softwareprodukte erreichen schneller die Marktreife, darüber hinaus aber auch ein höheres Qualitäts- und Sicherheitsniveau. Die Unternehmen können sich voll und ganz auf ihre geschäftlichen Ziele konzentrieren.

Sicher zusammenarbeiten: IP-Lebenszyklusmanagement mit Geofencing

Neun von zehn führenden Halbleiterunternehmen und Embedded-Systems-Anbietern verwenden Perforce-Lösungen, um weltweit die sichere Zusammenarbeit ihrer Hardware- und Softwareteams zu organisieren und ihre Daten sowie ihr geistiges Eigentum (IP) vor unerlaubtem Zugriff und Diebstahl zu schützen.

Mittels Helix Core, der branchenführenden Datenmanagementlösung von Perforce Software, können Entwicklungsteams den Zugriff bis auf Dateiebene kontrollieren und nach Gruppe, Benutzer, Pfad und sogar IP-Adresse klassifizieren. Weltweit verteilte Entwicklungsteams können dadurch sicher die benötigten Dateien und Daten zugreifen, die Effizienz in der Designphase erhöhen und die Zusammenarbeit im Team verbessern, ohne Abstriche bei der Sicherheit zu machen. Darüber hinaus lassen sich mithilfe des Geofencing-Add-ons von Helix IPLM, der Perforce-Lösung für das Lebenszyklusmanagement geistigen Eigentums, Datenzugriff und -speicherung nach Regionen managen. Dadurch können Kunden verhindern, IP-Daten in nicht dafür zugelassenen lokalen Zwischenspeichern abzulegen und IP-Metadaten in nicht autorisierten Regionen anzuzeigen.

Helix IPLM sorgt nicht nur für Sicherheit, sondern auch für Compliance und Rückverfolgbarkeit. Die Lösung fungiert als zentrale Informationsquelle für Erstellung und Pflege einer Plattform-Stückliste und liefert eine vollständige und unveränderliche hierarchische Sicht auf das System.

Perforce-Expertenvorträge auf der Embedded World 2024

Um die entsprechenden Themen zu vertiefen, beteiligt sich Perforce Software zudem mit zwei Expertenvorträgen am Konferenzprogramm der Embedded World 2024:

„2024 State of Automotive Software Development”

In ihrem Vortrag am 11. April 2024 von 09.30 Uhr bis 10:00 Uhr stellen Jill Britton, Director of Compliance, und Steve Howard, Product Evangelist, den diesjährigen Perforce-Bericht zum aktuellen Stand der Softwareentwicklung in der Automobilbranche vor. Eines der zentralen Ergebnisse der Befragung von über 600 Branchenexperten weltweit lautet, dass das Thema Security mittlerweile einen höheren Stellenwert einnimmt als die klassische Fahrzeugsicherheit (Safety). In den Jahren zuvor war das noch nicht der Fall gewesen. Gleichzeitig kämpfen die Befragten damit, die in der Branche allgemein verbreiteten Codierungsstandards MISRA (einschließlich der neuen Version MISRA C++:2023), C++ Core Guidelines und AUTOSAR C++14 zuverlässig zu erfüllen und dies auch für Nachweiszwecke zu dokumentieren.

Darüber hinaus stellt die Entwicklung von Elektrofahrzeugen die Unternehmen vor Herausforderungen in Sachen Produktivität. Denn um wettbewerbsfähig zu bleiben, müssen sie neue Produktlinien möglichst schnell und von Anfang an in bestmöglicher Qualität auf den Markt bringen, ohne dabei die Weiterentwicklung und Qualität der bisherigen Produktpalette aus den Augen zu verlieren.

Der Vortrag zeigt auf, wie branchenführende Hersteller die Herausforderungen in Sachen Sicherheit eingebetteter Systeme sowie Produktivität meistern und dabei auf die Perforce-Lösungen zur Versionskontrolle und statischen Code-Analyse zurückgreifen.

„Static Sentiment Analysis: Intelligently Finding Hotspots in Intent”

Möglichst frühes Testen ist das A und O im Entwicklungsprozess, um Fehler und Sicherheitslücken im Softwarecode möglichst schnell zu beseitigen und gleichzeitig für eine höhere Produktivität zu sorgen. Sand ins Getriebe der Entwicklung bringen aber auch weniger sicherheits- und funktional relevante Fehler wie zum Beispiel Abweichungen von den Design- und Style-Vorgaben bis hin zu Änderungen in den Zielen, die Entwickler beim Schreiben des Codes verfolgen. Diese sind jedoch für klassische statische Code-Analysewerkzeuge nur schwer zu entdecken und zu beheben.

Wie sich diese Herausforderung mithilfe der Sentiment-Analyse, einer Technik des maschinellen Lernens, meistern lässt, zeigt Alex Celeste, Principal Software Engineer bei Perforce Software, in ihrem Vortrag am 10. April von 14.45 Uhr bis 15.15 Uhr. Kunden können eine intelligente Sentiment-Analyse als Teil einer Pipeline zur statischen Code-Analyse nutzen und dadurch diejenigen Teile im Softwarecode identifizieren, die einschließlich der dafür notwendigen Rechenressourcen für eine weitergehende Analyse priorisiert werden sollten.

Weitere Vorteile der Sentiment-Analyse von Perforce Software bestehen darin, auf die Konfiguration komplizierter Layoutvorgaben, aber auch auf Cloud-Ressourcen und teure Schnittstellen von Drittanbietern zu verzichten.

Perforce Software auf der Embedded World 2024

Alle Produktneuheiten und -verbesserungen von Perforce Software zum Thema eingebettete Sicherheit in der Embedded-Entwicklung präsentieren die Experten des Unternehmens interessierten Fachbesuchern am Unternehmensstand mit der Nr. 4-510 in Halle 4. Anfragen für Pressetermine nimmt Phronesis PR unter +49(0)821/444-800 sowie per E-Mail an info@phronesis.de gerne entgegen.

Firmen zu diesem Artikel
Verwandte Artikel