„Durch die wachsende Softwarekomplexität sehen sich die Global 2000 Unternehmen, die sicherheitskritische Produkte anbieten, entlang ihrer gesamten Software Lieferkette mit völlig neuen Geschäftsrisiken konfrontiert“, erläutert Seth Hallem, CEO von Coverity. „Sie sind sowohl für die in ihren Produkten ausgelieferte Software als auch die Software ihrer Drittdienstleister bzw. Zulieferer verantwortlich. Mit diesem Angebot ermöglicht Coverity den Global 2000 Unternehmen die erforderliche Transparenz, um einzuschätzen, ob sie ihren Kunden sichere Software ausliefern.“
Das Ergebnis der Software Integritätsprüfung von Coverity liefert der Geschäftsleitung und den Entwicklungsteams entscheidende Information über Softwaresicherheit:
- Eine Liste der Softwaredefekte im Code ihrer sicherheitskritischen Geräte, Komponenten und Produkte,
- die Aufzeichnung der potenziellen Auswirkung dieser Softwarefehler auf Verhalten, Programmablauf oder Leistung ihrer Produkte,
- das gesamte Coverity Integrity Rating ihrer geprüften Produkte oder der Codebasis als Vergleich ihrer Softwaresicherheit mit industrieweiten Mittelwerten.
Warum Softwarekomplexität zu Geschäftsrisiken führt
Coverity verweist auf eine lange Historie bei der Risikominimierung von Softwarefehlern in Unternehmen. Seit 2003 hat Coverity über 750 Unternehmen und 250 Open Source Projekte bei der Analyse von Milliarden an Codezeilen unterstützt und Millionen an Softwarefehlern aufgespürt. Laut des 2009 Coverity Open Source Reports wurden über 11.200 Open Source Fehler beseitigt.
„Zu den grundlegenden Problemen bei Softwaresicherheit für Unternehmen gehört die kombinatorische Pfadkomplexität und Komplexität der Testtiefe“, so Andy Chou, Coverity Chief Science Officer und Mitbegründer. „Besonders für Unternehmen, die mehrere Softwarekomponenten von verschiedenen Zulieferern integrieren, kann das sehr schwierig sein.“
- Combinatorial Path Complexity: Jede Softwarekomponente hat eine eigene kombinatorische Pfadkomplexität. Beispielsweise kann eine Codebasis mit 1 Mio. Codezeilen über eine Billion mögliche Pfade zu Defekten aufweisen. Bei der Verbindung mit einer anderen Softwarekomponente steigt die Komplexität extrem, weil die Interaktion zwischen den Komponenten zu neuem und unerwartetem Verhalten führen kann, das vor der Integration nicht existierte. Dieses Problem verschlimmert sich sogar bei der Integration von Komponenten von verschiedenen Zulieferern, wenn diese unterschiedliche Testabläufe und Integritätsanalysen nutzen.
- Test coverage complexity: Auch die Komplexität der Testtiefe ist eine maßgebliche Herausforderung bei großen Codebasen. Die manuelle Codeüberprüfung kann nur kleine Fragmente einer Codebasis abdecken. Situative Tests wie die Funktionsprüfung, Leistungs- oder Sicherheitstests können wichtige Teile der Codezeilen umfassen, aber so gut wie nie einen wichtigen Teil der kombinatorischen Pfade. Um die gesamte Codebasis und alle möglichen Pfade abzudecken, die Fehler enthalten könnten, bedarf es einer automatisierten Software-Integritätsanalyse.
„Das Ausmaß der Softwarekomplexität in modernen Automobilen, Flugzeugen und sicherheitskritischen Systemen ist unglaublich“, so Theresa Lanowitz, Analyst bei Voke, Inc. „Die traditionelle manuelle Codeüberprüfung und Tests sind erforderlich, aber nicht ausreichend, um alle möglichen Risiken im Software-Code aufzuspüren. Aufwändige moderne Systeme benötigen grundlegende Vorgehensweisen auf der Basis von Automatisierung, um die Codequalität vor den Testläufen sicherzustellen. Hier ist Coverity mit seinen automatisierten Fähigkeiten zur Software Integritätsanalyse, die komplexe Codebasen mit über 100 Millionen an Codezeilen untersuchen kann, führend.“
# # #
Über Coverity (www.coverity.com)
Coverity, ein führendes Unternehmen im Bereich Software-Integrität, ist anerkannter Standard für Firmen, die im Hinblick auf Programmierungsfehler, Softwaredefekte und Sicherheitslecks eine Null-Toleranz-Strategie verfolgen. Die preisgekrönten Coverity-Produkte für die Gewährleistung der Software-Integrität erkennen Softwaredefekte bereits während der Entwicklung, noch bevor sie Folgekosten verursachen können. Mehr als 900 Kunden setzen auf Coverity, wenn es um die Entwicklung qualitativ hochwertiger Software geht. Coverity ist ein nicht börsennotiertes Unternehmen mit Sitz in San Francisco.
Coverity ist ein eingetragener Markenname von Coverity, Inc. Alle anderen erwähnten Markennamen sind im Besitz ihrer jeweiligen Eigentümer.
Ansprechpartner für die Presse: Agentur Lorenzoni GmbH, Public Relations, Landshuter Str. 29, 85435 Erding b. München, Tel.: +49 8122 55917-0, www.lorenzoni.de; Beate Lorenzoni-Felber; @email