Holen Sie sich die neuesten wichtigen Update-Informationen für die Log4j-Sicherheitslücke. Sehen Sie sich an, wie Sie das Problem mithilfe der Parasoft-Anleitung beheben können. Erfahren Sie mehr >>

X
BLOG

Zusammenfassung der Embedded World 2020

Zusammenfassung der Embedded World 2020 Lesezeit: 6 Minuten

Das Team von Parasoft, das letzte Woche an der Embedded World Conference in Nürnberg teilnahm, kam mit seinen Beobachtungen zurück. Trotz der geringeren Besucherzahlen, die angesichts der weltweiten Verbreitung des COVID-19-Virus zu erwarten waren, fanden immer noch große Diskussionen und Sitzungen statt.

Key Take Away

  • Die Einhaltung von Sicherheitsbestimmungen ist nach wie vor das Hauptthema der Konversation unter den Teilnehmern, wobei Sicherheit mit immer mehr verbundenen Geräten zu einem einheitlichen Thema wird
  • Agile und DevOps sind mittlerweile in der Entwicklung eingebetteter Software etabliert, aber wir sehen immer noch Teams, die Schwierigkeiten haben, moderne Softwaretechniken an die gesetzlichen Anforderungen anzupassen
  • Künstliche Intelligenz und maschinelles Lernen sind heiße Themen, obwohl die Teams Schwierigkeiten haben, diese neuen Systeme zu testen

Wir haben auch einige aufregende Neuigkeiten von einigen unserer Partner zu teilen. Alles in allem eine tolle Konferenz.

Hier finden Sie eine Zusammenfassung dessen, was wir auf der Konferenz gesehen und gehört haben, insbesondere in Bezug auf unsere Fachgebiete und Werkzeuge.

Der Sicherheitszustand in Embedded

Im Allgemeinen stehen die Sicherheit der Software sowie allgemeine Qualitätsbedenken bei vielen Teilnehmern im Vordergrund, wenn sie Produktlösungen in verschiedenen sicherheitskritischen Bereichen entwickeln. Sicherheit und Schutz sind eng miteinander verbunden, und die Diskussionen um die Einhaltung von Software verlagern sich auf die Erstellung vorhersehbarer Software, da unvorhersehbares Verhalten in Software weder sicher noch sicher ist - ein eindeutig positiver Trend. Sicherheit ist jedoch eine Schlüsselpriorität und sicherlich ein Schwerpunkt, der auf der Konferenz in Form von Vorträgen kommuniziert wird und auf praktisch allen Standanzeigen eines Anbieters gut sichtbar ist. Dennoch ist das Gefühl, dass viele die Sicherheitsaspekte bei ihrer Entscheidungsfindung nicht berücksichtigen oder nicht wissen, wie sie die Verbesserung der Softwaresicherheit angehen sollen.

Es besteht kein Verständnis dafür, was es bedeutet, eine sichere Entwicklung in eingebetteter Software durchzuführen. Es gibt Codierungsstandards wie SEI-ZERT Das hat an Zugkraft gewonnen, aber bei anderen Richtlinien wie OWASP und CWE Top 25 besteht Unsicherheit darüber, wie oder wann sie angewendet werden sollen. Darüber hinaus gibt es immer noch ein weit verbreitetes Missverständnis, dass Sicherheit kein Entwicklerproblem und eher ein Netzwerkproblem ist. Die Sicherheit muss jedoch von Anfang an in den Anforderungen berücksichtigt werden, da Sie die Sicherheit nicht in ein Produkt patchen können. Die Software-Sicherheit bleibt ein Verbesserungsbereich für die Embedded-Entwicklung.

Einführung von DevOps, agiler und kontinuierlicher Integration / Bereitstellung

Der Trend zur Einführung iterativer und kontinuierlicher Prozesse setzt sich fort, um große Fortschritte bei der Entwicklung eingebetteter Systeme zu erzielen, jedoch nicht ohne Widerstand im Vergleich zu dem, was im Bereich der Unternehmenssoftware geschieht. Obwohl CI / CD ein bekanntes Muss im Entwicklungslebenszyklus ist, ist die Einführung von Agile immer noch ein Kampf innerhalb des eingebetteten sicherheitskritischen Bereichs. Beispielsweise werden hybride Ansätze vorgeschlagen, um Schwierigkeiten bei der Verwendung agiler Prozesse in dieser stark regulierten Umgebung zu überwinden.

Andere faszinierende Beobachtungen beziehen sich auf Technologien und Werkzeuge, die moderne Prozesse und Methoden unterstützen. Linux zum Beispiel ist zur bevorzugten Host-Entwicklungsplattform geworden, und der Bedarf an Automatisierung ist im Allgemeinen für Linux. Ebenso gewinnt die Einführung von Containern mit kontinuierlicher Integration und Bereitstellung, die Container nutzen, enorm an Bedeutung. Interessanterweise kommt der Begriff DevSecOps wahrscheinlich auch nicht zu den Teilnehmern, da die Sicherheit bei diesen neuen Entwicklungsansätzen nicht die angemessene Priorität erhält. Es bleibt natürlich die Möglichkeit, Embedded-Software-Entwicklungsteams dabei zu unterstützen, Sicherheit (und Standards) in agilen Prozessen zusammenzuführen.

Industriestandards für Sicherheit und Schutz

Die größte Neuigkeit von Embedded Word in diesem Jahr in Bezug auf Standards ist die Ankündigung des MISRA C: 2012 Änderung 2 Veröffentlichung durch das MISRA-Komitee. Die wichtigsten Teile des Änderungsantrags befassen sich mit Bedenken hinsichtlich der Verwendung der Versionen 2011 und 2018 der C-Sprache sowie mit Leitlinien für die Verwendung neuer Funktionen. Es gibt auch ein Update zur MISRA-Konformität: 2020, in dem der Prozess der Inanspruchnahme der Konformität mit dem Standard beschrieben wird. Parasoft kündigte unsere sofortige Unterstützung für MISRA C 2012 Änderung 2 an.

Interessante Informationen sind die zukünftige Zusammenführung von AUTOSAR C ++ mit MISRA C ++ und die Tatsache, dass die MISRA-Organisation in Zukunft die Verwaltung des Standards übernehmen wird. Wir haben eine Diskussionsrunde mit unseren internen Experten in a vorherigen Post.

Bei Embedded World war das Bewusstsein der Teilnehmer für sicherheitsrelevante Codierungsstandards im Allgemeinen hoch. Es gibt jedoch weniger Bewusstsein für die verfügbaren sicherheitsrelevanten Standards, aber SEI CERT scheint am anerkanntesten zu sein. Obwohl AUTOSAR C ++ 14 und MISRA C 2012 eine gewisse Sicherheitsabdeckung aufweisen, sind Entwickler immer noch an einem dedizierten Standard wie CERT C interessiert. Dies ist ein positiver Trend, da er den Wunsch und die Bewegung zum Ausdruck bringt, die Sicherheit von Software im Voraus zu verbessern. bei der Entwicklung des Codes.

„MISRA“, „MISRA C“ und das Dreieckslogo sind eingetragene Marken von The MISRA Consortium Limited. ©The MISRA Consortium Limited, 2021. Alle Rechte vorbehalten.

Stand der Testautomatisierung in eingebetteter Software

Die Strenge in der Softwareentwicklung wird durch die stetig zunehmende Komplexität, Konnektivität und die wachsenden Anforderungen an die Einhaltung von Standardisierungen, die sich mit Sicherheit, Datenschutz und Sicherheit befassen, noch verstärkt. Daher ist die Integration der Testautomatisierung in Ihr Unternehmen und den Anwendungslebenszyklus zweifellos erforderlich. Unternehmen erkennen, dass sie sich in einem Time-to-Market-Rennen befinden, um den Markt zu gewinnen. Die Auswahl der besten Entwicklungsumgebung und Testtools hilft ihnen, in diesem Rennen zu fahren. Wir haben den Schritt vieler zur Kenntnis genommen, Linux als bevorzugte Entwicklungsplattform zu verwenden, um die Bereitstellung und Skalierung in Bezug auf die Kapazität zu unterstützen.

Die Einhaltung der funktionalen Sicherheitsstandards ist wichtig in diesem Marktwettlauf, der eine Automatisierung zur Verifizierung und Validierung impliziert. Die Konformität gilt auch für andere Anbieter eingebetteter Softwaretools, die im Lebenszyklus der Softwareentwicklung eine Rolle spielen. Daher möchten auch diese die Testautomatisierung in ihre Lösung integrieren. Dieses Rennen treibt auch die Innovation der besten Marktführer für Testautomatisierung auf dem Markt voran. Parasoft war einer der wenigen Anbieter, die auf der Messe Innovationen ankündigten, ohne unser eigenes Horn zu sehr zu betätigen. Während Embedded World haben wir angekündigt Neue KI und maschinelles Lernen haben die statischen Analysefunktionen und -verbesserungen in Parasoft C / C ++ und Jtest verbessert, um die strukturelle Abdeckung vom Komponententest bis zur erweiterten Codeanalyse für C / C ++ und Java zu erhöhen. Dies reduziert den Testaufwand, der durch Normen wie ISO 26262 (Automobil), DO-178B / C (Luft- und Raumfahrt), IEC 62304 (Medizinprodukte), IEC 61508 (Funktionssicherheit) und EN 50128 (Schiene) erforderlich ist.

Abbildung 1: Beispiel-Screenshot des Assistenten für maschinelles Lernen aus der statischen Analyse von Parasoft für maschinelles Lernen

Mit welchen Testproblemen haben Entwickler zu kämpfen?

Obwohl Fragen zu Qualität, Sicherheit und Schutz weiterhin im Vordergrund stehen, ist eines der interessanten Themen, die während der Konferenz auftauchten, das Testen von KI- und maschinellen Lernsystemen (z. B. als neuronale Netze implementiert) in sicherheitskritischen Geräten. Sicherheitskritische Software basiert auf vorhersehbarem Verhalten, für das KI-Systeme nicht ausgelegt sind. Die Zertifizierung von KI wird jetzt und in Zukunft ein interessantes Problem sein. Es gab eine Reihe von Sitzungen zu empfohlenen Ansätzen zum Testen von KI-Systemen, es ist jedoch noch keine Standardlösung verfügbar.

Neue Entwicklungen mit KI

KI ist ein heißes Thema und wird hauptsächlich in Diskussionen über autonome Fahrsysteme angesprochen. Auf der Konferenz gab es mehrere Sitzungen, in denen KI-Themen behandelt wurden. In Bezug auf die Automatisierung von Softwaretests war Parasoft der einzige Anbieter, der neue KI-Funktionen ankündigte (siehe unsere Ankündigung oben). .

Updates zu Integrationen mit unseren Partnern

Parasoft kündigt neue Integrationen mit an Polarion, codeBeamerund Jira, für eine verbesserte Rückverfolgbarkeit der Anforderungen (und Testmanagementsysteme, die an Jira angeschlossen werden, wie z Xray.) Diese neuen bidirektionalen Datenaustausche schließen die Lücke zwischen den Anforderungen und den Tests, die sie validieren, um eine vollständige Rückverfolgbarkeit bis zum zu entwickelnden Code zu gewährleisten. Diese Funktionen erfüllen die Anforderungen zur Entwicklung von Prozessstandards wie ISO 26262 (Automobilindustrie), DO-178B / C (Luft- und Raumfahrt), IEC 62304 (Medizinprodukte) und IEC 61508 (Funktionssicherheit).

Ein häufig auftretendes Problem war, dass die Ökosysteme der Entwicklungsumgebung für die eingebettete Entwicklung fragmentiert sind, was zu dem Wunsch nach Werkzeugkettenkomponenten führt, die sich in zahlreiche verfügbare Lösungen einfügen lassen. Die Teilnehmer, insbesondere bei neuen Projekten, entfernen sich von einem Anbieter, einer Plattform, die vom Anforderungsmanagement zu Compilern und Hardware führt.

Zusammenfassung

Alles in allem war Embedded World 2020 eine großartige Konferenz, die viele großartige Diskussionen mit Kunden und Partnern beinhaltete. Es bleibt ein allgemeiner Trend, sich zuerst auf die Sicherheit zu konzentrieren, aber mit dem besseren Verständnis, wie sie mit der Sicherheit korreliert. Parasoft machte einige wichtige Ankündigungen bezüglich der Analyse der AI-gesteuerten Testabdeckung und der Unterstützung für die neueste MISRA-Änderung. Künstliche Intelligenz im Allgemeinen sowohl in Anwendungen als auch in Werkzeugen bleibt ein interessantes Diskussionsfeld und wird es auch in Zukunft bleiben.

Wir freuen uns darauf, alle nächstes Jahr wieder zu sehen. In der Zwischenzeit finden Sie weitere Informationen zum automatisierten Testen eingebetteter Systeme https://www.parasoft.com/request-a-demo/.

Geschrieben von

Richard Camacho

Sr. Technical Product Marketing Manager für die eingebetteten Testlösungen von Parasoft. Er verfügt über Erfahrung in der SDLC- und Testautomatisierung eingebetteter Echtzeit-, sicherheitskritischer Anwendungen sowie in der Softwarekonformität mit Industriestandards.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.