(openPR) Paris, 5. November 2014 – CodePeer von AdaCore, das statische Analyse-Tool für die automatisierte Prüfung und Bewertung von Ada-Quellcode, wurde als Werkzeug für die Validierung von Software in den Bereichen Luftfahrt und Eisenbahnwesen qualifiziert.
CodePeer prüft Software noch vor der Ausführung auf mögliche Probleme, um Fehler effizient und zeitig im Entwicklungsprozess zu finden. Mit mathematischen Verfahren analysiert CodePeer jede Programmzeile unter Berücksichtigung jedes möglichen Inputs und Programmablaufs. Es führt Impact- und Schwachstellenanalysen durch, wenn bestehender Code geändert wird, und identifiziert mittels Control-Flow, Datenfluss und anderen statischen Analysetechniken Probleme, die sonst nur mit arbeitsaufwändigem Debugging festzustellen sind.
"In sicherheitskritischen Bereichen brauchen Entwickler eine Garantie, dass die benutzten Werkzeuge zuverlässig funktionieren und vertrauenswürdige Ergebnisse liefern, und dass die manuelle Codeüberprüfung damit deutlich zu reduzieren ist", erklärt Cyrille Comar, Managing Director bei AdaCore. "CodePeer wurde strengen branchenspezifischen Tests für Avionik und Eisenbahn unterzogen, die vollständig die Zuverlässigkeit für diese und andere sicherheitskritische Entwicklungsumgebungen festgestellt haben."
Avionics-Qualifizierung
CodePeer wurde als Verifikationstool für die Norm DO-178B, den Software-Sicherheitsstandard für kommerzielle Bordsysteme, qualifiziert. Zertifizierungsstellen wie die FAA in den USA und EASA in Europa verwenden DO-178B, um sicherzustellen, dass Software ihre Anforderungen erfüllt.
Folgende Sicherheitslücken werden durch die Analyse mit CodePeer für Avionik erkannt:
* Overflow von Integer- und Gleitkomma-Typen
* Range-Verletzungen bei Integer- und Gleitkomma-Typen
* Index-Verletzungen bei Array-Operationen
* Division durch Null bei Integer- und Gleitkomma-Typen
* Nicht initialisierte Variablen
* Underflow von Gleitkomma-Typen
Wo keine potenziellen Fehler gemeldet werden, garantiert CodePeer, dass der Code von diesen Schwachstellen frei ist.
Railway-Qualifizierung
Im Rahmen von Eisenbahnanwendungen wurde CodePeer verwendet, um Code in Übereinstimmung mit der Norm CENELEC EN 50128:2011 SIL 4 zu überprüfen, das höchste Safety-Integrity-Level in diesem Bereich. CodePeer wurde als "Tool Class T2" qualifiziert; damit wird sichergestellt, dass das Integritätslevel von Software bei der Prüfung durch CodePeer nicht geringer ist als bei manuellen Verfahren.
In diesem Zusammenhang wurde CodePeer für die folgenden Aktivitäten verwendet:
* Grenzwertanalyse: CodePeer erkennt Versuche einer Dereferenzierung für einen Pointer, der Null sein könnte, Werte außerhalb der Grenzen eines Ada-Typs oder -Subtyps; es erkennt auch Pufferüberläufe, numerischen Überlauf, Wraparounds oder Division durch Null.
* Kontrollflussanalyse: CodePeer identifiziert verdächtige und potentiell falsche Abläufe, beispielsweise unerreichbaren Code, redundante Bedingungen und Schleifen, die entweder ewig laufen oder nicht normal zu beenden sind, sowie Unterprogramme, aus denen es keine Rückkehr gibt.
* Datenflussanalyse: CodePeer entdeckt verdächtigen und potentiell falschen Datenfluss, beispielsweise nicht initialisierte Variablen, Variablen, die wiederholt geschrieben werden, ohne dass sie gelesen werden (Redundant Assignments), Variablen, die geschrieben, aber nie gelesen werden, und Parameter mit falschen Modi (ungelesene oder nicht geschriebene Parameter).
CodePeer kann in Verbindung mit der Entwicklungsumgebung GNAT Pro (www.adacore.com/gnatpro) von AdaCore eingesetzt werden, wobei es eng in AdaCore GPS (GNAT Programming Studio) und GNATbench IDEs integriert ist, oder auch als eigenständiges Produkt. Es wird mit einer Reihe von komplementären statischen Analyse-Tools bereitgestellt, so mit einem Tool für die Verifikation des Codierungsstandards (GNATcheck, www.adacore.com/gnatpro/toolsuite/gnatcheck), einem Generator für Quellcode-Metriken (GNATmetric), einem semantischen Analysator und einem Dokumentationsgenerator.
Diese Presseinformation kann auch unter www.pr-com.de/adacore abgerufen werden.
