Coverity räumt auf mit unsicherer Software
San Francisco, March 16, 2010 (ots/PRNewswire)
Coverity, Inc., Marktführer auf dem Gebiet der Software-Integrität, hat heute ein Angebot für Global-2000-Firmen bekanntgeben, um Integritäts-Prüfungen für sicherheitsrelevante Software durchzuführen. Der Coverity Software Integrity Audit ist ausgelegt um Programmfehler offenzulegen, die das System beeinträchtigen, Vorgänge lahmlegen oder die Leistungsfähigkeit von sicherheitsrelevanten Geräten oder Produkten beeinträchtigen können. Coverity dehnt dieses Angebot auch auf Zulieferer von Global-2000-Firmen aus und hilft dadurch den Unternehmen dabei, Probleme mit der Software-Integrität bei Komponenten, Geräten oder Softwareprodukten in der Zulieferkette abzustellen. Näheres zu dem Programm unter http://www.coverity.com.
(Photo: http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-a) (Photo: http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-b) (Photo: http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-c) (Photo: http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-d)
Der Coverity Software Integrity Audit hilft Führungskräften von Global-2000-Unternehmen bei der Lösung von zwei entscheidenden Problemstellungen:
- "Bestehen sicherheitsrelevante Softwaremängel, die meine ausgelieferten
Produkte beeinträchtigen?"
- "Bestehen sicherheitsrelevante Softwaremängel bei den Produkten meiner
Zulieferer?""Die Komplexität der Software konfrontiert Global-2000-Firmen mit einem grundlegend neuartigen Geschäftsrisiko bei sicherheitsrelevanten Produkten, und zwar durchgehen in der gesamten Wertschöpfungskette der Softwareentwicklung", sagte Coverity-Geschäftsführer Seth Hallem. "Die Unternehmen sind für beiderlei verantwortlich: für die mit ihren Produkten ausgelieferte Software und auch für die von Zulieferern beigesteuerten Programme. Mit seinem Angebot spricht Coverity Global-2000-Unternehmen an, bei denen sicherheitsrelevante Software ein Thema ist. Wir bieten ihnen die notwendige Klarheit um einschätzen zu können, ob die ausgelieferte Software den Sicherheitsstandards entspricht oder nicht.
Der Coverity Software Integrity Audit gibt Führungskräften und Entwicklungsteams wertvolle Information zur Integrität der Software an die Hand:
- Eine Liste der Programmfehler in dem Code, der die sicherheitsrelevanten
Geräte, Komponenten oder Produkte steuert;
- Die potentiellen Auswirkungen solcher Softwaremängel auf Verhalten,
Bedienbarkeit oder Leistung der Produkte;
- Das umfassende Coverity Integrity Rating. Diese integritätsrelevante
Einstufung des geprüften Produkts oder seiner Codebase vergleicht die
Software-Integrität mit branchenüblichen Standards.Warum die Komplexität der Software Geschäftsrisiken birgt
Coverity hat weitreichende Erfahrung bei der Minimierung des Risikos von Softwaredefekten in Richtung Endverbraucher wie auch geschäftsintern. Seit 2003 hat Coverity für über 750 Geschäftskunden und bei 250 Open-Source-Projekten daran mitgearbeitet, Milliarden von Codezeile zu analysieren und Millionen von Softwaremängeln aufzudecken. Wie aus dem 2009er Coverity Scan Open Source Report hervorgeht, wurden dabei über 11.200 Mängel an quelloffenen Programmen abgestellt.
"Software-Integrität ist eine Herausforderung, die in vielen Zusammenhängen zum Tragen kommt. Doch zwei der herausragenden Probleme, denen sich Firmen gegenübersehen, sind sicher die kombinatorische Pfadkomplexität und die Komplexität der Testtiefe", sagte Andy Chou, Wissenschaftlicher Direktor und Mitbegründer von Coverity. "Vor besonders hohe Anforderungen stellt dies solche Firmen, die mehrere Software-Komponenten von verschiedenen Herstellern und Zulieferern verwenden."
- Kombinatorische Pfadkomplexität: Jede Softwarekomponente hat ihre
eigene kombinatorische Pfadkomplexität. So kann zum Beispiel eine
Codebase mit 1 Million Codelinien über 1 Billion möglicherweise falsche
Pfade aufweisen. In Kombination mit einer weiteren Sofwarekomponente
erhöht sich die Komplexität dramatisch, denn die Interaktikon zwischen
den beiden Komponenten kann neue und unerwartete Folgen haben, die vor
der Kombination nicht bestanden. Das Problem spitzt sich noch zu, wenn
obendrein Komponenten verschiedener Hersteller zusammentreffen, bei
denen verschiedene Testverfahren und Methoden zur Integritätsanalyse
angewandt wurden.
- Komplexität der Testtiefe: Die Komplexität der Testtiefe ist bei
umfangreichen Codebases ebenfalls eine bedeutende Herausforderung. Die
herkömmlicher Weise manuelle Prüfung der Codes kann nur kleine Fragmente
einer Codebase abdecken. Situative Tests wie etwa Funktionstests,
Modultests, Leistungsdiagnosen und Sicherheitsprüfungen können einen
bedeutenden Anteil der Codezeilen abdecken, doch fast nie einen
nennenswerten Anteil der kombinatorischen Pfade. Nur eine automatisierte
Analyse der Software-Integrität kann die gesamte Codebase durchtesten
und auf nachvollziehbare Weise alle möglichen Pfade durchspielen, die
Fehler enthalten können."Die Komplexität der Software hat in modernen Autos, Flugzeugen und sicherheitsrelevanten Systemen gigantische Ausmasse angenommen", sagte Analystin Teresa Lanowitz von Voke, Inc. "Traditioneller manueller Codereview und Szenariotest bleiben notwendig, reichen aber nicht aus um alle potentiellen Fehlerrisiken in einem Softwarecode aufzudecken. Komplexe moderne Systeme erfordern grundlegende, automatisierte Verfahren um die Codequalität vor Beginn der Testphase sicherzustellen. Coverity hat in diesem Bereich eine Führungsposition inne und bietet mit seinen automatisierten Kapazitäten zur Analyse der Software-Integrität ein grundlegend neuartiges Verfahren um komplexe Codebases mit über 100 Millionen Codezeilen untersuchen zu können."
Anschaulich dargestellt wurde dieses Problem auch in Coveritys Bericht zum Thema Softwaresicherheit. So sagte Andreas Gerstinger, Ingenieur für Software-Qualität und -Sicherheit bei Frequentis, einem weltweit führenden Anbieter von Lösungen im Bereich Kommunikations- und Nachrichtentechnik für sicherheitskritische Anwendungen: "Da unsere Produkte bei kritischen Einsätzen eine entscheidende Rolle spielen, muss Frequentis in Sachen Sicherheit und Integrität die höchsten Massstäbe ansetzen. Coverity ist inzwischen einer der tragenden Pfeiler in unserem Qualitätsmanagement. Coverity Static Analysis spürt Softwarefehler auf, die beim normalen Testen und manuellen Codereviews nur schwer oder gar nicht zu finden wären. Coverity bildet eine hervorragende Ergänzung zu unseren bisherigen Prozessen und Hilfsmitteln, und es ist obendrein eine Lösung, die zur Steigerung der Produktivität beiträgt. Deshalb nimmt unser gesamter Entwicklungsbereich das Tool mit Begeisterung in Anspruch."
Interessierte Global-2000-Unternehmen können sich für den Coverity Software Integrity Audit anmelden unter http://www.coverity.com.
Über Coverity:
Coverity (http://www.coverity.com) ist Marktführer im Bereich Software-Integrität. Auf seine Lösungen vertrauen Firmen, in deren Unternehmenspolitik gegenüber Softwarefehlern Nulltoleranz besteht. Das preisgekrönte Produktsortiment von Coverity im Bereich Software-Integrität spürt Programmfehler in der Entwicklungsphase auf, also bevor sie sich negativ auf das Geschäft auswirken können. Über 900 Kunden vertrauen Coverity wenn es darum geht, fehlerfreie Software zu liefern. Coverity ist ein privatwirtschaftliches Unternehmen mit Hauptsitz in San Francisco.
Pressekontakt:
CONTACT: Chantal Yang, Page One Public Relations,
+1-415-875-7494,coverity@pageonepr.com