Software Integritätsprüfung für qualifizierte Global 2000 Unternehmen

Coverity bietet Software Integrity Audits an und gibt entscheidende Informationen über Softwaresicherheit

(18.03.10) - Coverity, Inc., Anbieterin von Lösungen zur Software-Integrität, wird qualifizierten Global 2000 Unternehmen mit Interesse an Softwaresicherheit Software Integrity Audits anbieten. Die Software Integritätsprüfung kann Softwaredefekte entdecken, die sich auf das Verhalten von Software auswirken, den Programmablauf blockieren oder die Leistung von sicherheitskritischen Geräten oder Produkte beeinflussen. Coverity erweitert dieses Angebot auch auf ausgewählte Zulieferer der teilnehmenden Global 2000 Unternehmen, um Software Integritätsprobleme in der Lieferkette von zugelieferten Komponenten, Geräten und Produkten aufzudecken.

Mit dem Software Integrity Audit unterstützt Coverity die Global 2000 Firmen bei der Beantwortung von zwei kritischen Fragen:

· Gibt es sicherheitskritische Fehler in meinen ausgelieferten Produkten?

· Gibt es sicherheitskritische Fehler in den Produkten meiner Zulieferer?

"Durch die wachsende Softwarekomplexität sehen sich die Global 2000 Unternehmen, die sicherheitskritische Produkte anbieten, entlang ihrer gesamten Software Lieferkette mit völlig neuen Geschäftsrisiken konfrontiert", erläutert Seth Hallem, CEO von Coverity. "Sie sind sowohl für die in ihren Produkten ausgelieferte Software als auch die Software ihrer Drittdienstleister bzw. Zulieferer verantwortlich. Mit diesem Angebot ermöglicht Coverity den Global 2000 Unternehmen die erforderliche Transparenz, um einzuschätzen, ob sie ihren Kunden sichere Software ausliefern."

Das Ergebnis der Software Integritätsprüfung liefert der Geschäftsleitung und den Entwicklungs-teams entscheidende Information über Softwaresicherheit:

· Eine Liste der Softwaredefekte im Code ihrer sicherheitskritischen Geräte, Komponenten und Produkte,

· die Aufzeichnung der potenziellen Auswirkung dieser Softwarefehler auf Verhalten, Programmablauf oder Leistung ihrer Produkte,

· das gesamte Coverity Integrity Rating ihrer geprüften Produkte oder der Codebasis als Vergleich ihrer Softwaresicherheit mit industrieweiten Mittelwerten.

Warum Softwarekomplexität zu Geschäftsrisiken führt

Coverity verweist auf eine lange Historie bei der Risikominimierung von Softwarefehlern in Unternehmen. Seit 2003 hat Coverity über 750 Unternehmen und 250 Open Source Projekte bei der Analyse von Milliarden an Codezeilen unterstützt und Millionen an Softwarefehlern aufgespürt. Laut des 2009 Coverity Open Source Reports wurden über 11.200 Open Source-Fehler beseitigt.

"Zu den grundlegenden Problemen bei Softwaresicherheit für Unternehmen gehört die kombina-torische Pfadkomplexität und Komplexität der Testtiefe", so Andy Chou, Coverity Chief Science Officer und Mitbegründer. "Besonders für Unternehmen, die mehrere Softwarekomponenten von verschiedenen Zulieferern integrieren, kann das sehr schwierig sein."

· Combinatorial Path Complexity: Jede Softwarekomponente hat eine eigene kombinatorische Pfadkomplexität. Beispielsweise kann eine Codebasis mit 1 Mio. Codezeilen über eine Billion mögliche Pfade zu Defekten aufweisen. Bei der Verbindung mit einer anderen Softwarekomponente steigt die Komplexität extrem, weil die Interaktion zwischen den Komponenten zu neuem und unerwartetem Verhalten führen kann, das vor der Integration nicht existierte. Dieses Problem verschlimmert sich sogar bei der Integration von Komponenten von verschiedenen Zulieferern, wenn diese unterschiedliche Testabläufe und Integritätsanalysen nutzen.

· Test coverage complexity: Auch die Komplexität der Testtiefe ist eine maßgebliche Herausforderung bei großen Codebasen. Die manuelle Codeüberprüfung kann nur kleine Fragmente einer Codebasis abdecken. Situative Tests wie die Funktionsprüfung, Leistungs- oder Sicherheitstests können wichtige Teile der Codezeilen umfassen, aber so gut wie nie einen wichtigen Teil der kombinatorischen Pfade. Um die gesamte Codebasis und alle möglichen Pfade abzudecken, die Fehler enthalten könnten, bedarf es einer automatisierten Software-Integritätsanalyse.

(Coverity: ma)