Holen Sie sich die neuesten wichtigen Update-Informationen für die Log4j-Sicherheitslücke. Sehen Sie sich an, wie Sie das Problem mithilfe der Parasoft-Anleitung beheben können. Erfahren Sie mehr >>

X
BLOG

Statische Analyse für die FDA: Worum geht es?

Statische Analyse für die FDA: Worum geht es? Lesezeit: 2 Minuten

Im Beitrag der letzten Woche haben wir vorgestellt, wie Die statische Analyse ist nur ein Teil des FDA-Compliance-Puzzles. In den nächsten Beiträgen werden wir dieses Problem genauer untersuchen. Wir beginnen am Anfang: mit einem Überblick über was statische Analyse beinhaltet und wie es in Softwareentwicklungsprozessen für medizinische Geräte angewendet wird.

Statische Code-Analyse überwacht, ob Code die Erwartungen an Sicherheit, Zuverlässigkeit, Leistung und Wartbarkeit erfüllt. Die statische Analyse umfasst normalerweise:

  • Statische Code-Analyse: Stellt sicher, dass der Code einheitliche Erwartungen hinsichtlich Sicherheit, Zuverlässigkeit, Leistung und Wartbarkeit erfüllt. Dies ermöglicht eine einfache, frühzeitige und umfassende Erkennung von Codemustern, die zu schwer zu findenden, aber möglicherweise absturzverursachenden Fehlern führen.
  • Statische Analyse des Datenflusses: Zeigt Laufzeitfehler an, ohne dass Code ausgeführt werden muss. Diese Technologie simuliert Ausführungspfade über mehrere Einheiten, Komponenten und Dateien hinweg und identifiziert Pfade, die zu kritischen Fehlern führen können. Das Ergebnis ist eine frühzeitige und mühelose Erkennung von Fehlern, deren Suche andernfalls Wochen dauern könnte.
  • Metrikanalyse: Berechnet branchenübliche Metriken und / oder identifiziert bestimmte Codeteile, die die Schwellenwerte für branchenübliche oder benutzerdefinierte Metriken überschreiten. Dadurch wird spröder oder übermäßig komplexer Code verfügbar, dessen Wiederverwendung, Erweiterung oder Wartung schwierig oder gefährlich sein kann.

Um sicherzustellen, dass statische Analyse Wenn Sie zu einem nachhaltigen, minimal störenden Teil Ihres Prozesses werden, möchten Sie einen kontinuierlichen Prozess einrichten, der sicherstellt, dass statische Analyse-Scan- und Korrekturaufgaben nicht nur im gesamten SDLC bereitgestellt, sondern auch in den Workflow des Teams integriert werden.

Manager legen ihre Erwartungen fest, indem sie eine Code-Compliance-Richtlinie definieren (z. B. durch vorkonfigurierte FDA-Compliance-Vorlagen).

Anschließend überwacht ein täglicher statischer Analyseprozess automatisch die Richtlinienkonformität auf allen Ebenen des Anwendungsstapels, identifiziert nicht konformen Code und sammelt Prozessmetriken. Das Management erhält in Echtzeit Einblick in den allgemeinen Status und die Prozesse der Code-Konformität, sodass Teams Verbesserungen dokumentieren und bestimmen können, welche zusätzlichen Maßnahmen erforderlich sein können, um die Sicherheit und Zuverlässigkeit von Software für medizinische Geräte zu gewährleisten.

Entwickler reagieren einfach auf die Aufgaben, die vom automatisierten Scan gemeldet wurden. Sie können auch eine interaktive statische Analyse direkt von ihrer IDE aus durchführen, um den Code zu validieren, bevor sie zur Hauptcodebasis hinzugefügt werden.

Um eine rasche Sanierung zu fördern, jeweils statische Analyse Das erkannte Problem sollte priorisiert, automatisch dem Entwickler zugewiesen werden, der es eingeführt hat, und dann mit direkten Links zum problematischen Code und einer Erläuterung zur Behebung des Problems an seine IDE verteilt werden.

***

Bildnachweis: Myxi

Geschrieben von

Parasoft

Die branchenführenden automatisierten Softwaretest-Tools von Parasoft unterstützen den gesamten Softwareentwicklungsprozess, vom Schreiben der ersten Codezeile über Unit- und Funktionstests bis hin zu Leistungs- und Sicherheitstests, wobei simulierte Testumgebungen genutzt werden.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.