彩票走势图

静态分析工具Parasoft C/C++test轻松降低获得兼容软件的风险和成本

原创|行业资讯|编辑:郑恭琳|2020-10-21 11:38:02.110|阅读 269 次

概述:对于不同的组织,软件开发中的合规性可能意味着不同的事情。获得兼容软件的差异可能与他们销售产品的市场有关。从严格的安全关键软件开发到需要安全性和隐私功能来处理敏感数据的企业应用程序,它们的范围广泛。

# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>

相关链接:

对于不同的组织,软件开发中的合规性可能意味着不同的事情。获得兼容软件的差异可能与他们销售产品的市场有关。从严格的安全关键软件开发到需要安全性和隐私功能来处理敏感数据的企业应用程序,它们的范围广泛。


什么是兼容软件?

标准和法规出现在不同的行业中,并且已经制定出来以保护客户和用户免受伤害。这种伤害可能表现为人身危险或凭证和敏感个人信息的财务损失。这些标准通常是对导致人员受伤或重大数据泄露的事件的反应。

安全、保安和隐私标准

在安全方面,有几个标准,其中包括:

还有一些安全和隐私标准,例如GDPR用于一般数据保护/隐私,以及PCI-DSS用于安全处理信用卡信息。

符合标准要求

对于大多数标准,合规性通过各种方式证明您所部署的软件符合标准要求。开发过程会生成说明合规性的文档、报告和其他工件。它牢记审计工作,并且可以包括演示和验收测试。

合规的时间和成本取决于行业标准要求的严格程度。这些标准基于软件对最终用户的安全性影响定义了设计和开发指南。在严重的情况下,产品的故障可能导致死亡或受伤。例如,针对安全完整性等级(ABCD)的等级定义了ISO 26262,其中ASIL A是最低的安全风险或影响,而D是最高的。

安全完整性等级

发生的可能性加上风险的严重性和可控制性决定了产品符合安全完整性级别的位置。(可控制性是驾驶员减轻风险的能力。):

兼容软件:严重性、暴露程度和可控制性表

严重性、暴露程度和可控性表

下表显示了ISO 26262中各种ASIL的严重程度、暴露程度和可控制性:

危害分析与风险评估

2:危害分析和风险评估

EN 50128使用具有类似标准的术语软件安全完整性等级(SSIL)。ISO 26262EN50128标准均从IEC 61508得出其定义,IEC 61508是功能安全的总体标准。

这些SSIL水平还基于失效的可能性以及生命和肢体的失效严重程度。正如预期的那样,该级别或严格程度随ASIL/SIL级别的要求而提高,并且合规成本随之增加。审查的水平随风险而增加。因此,这会对软件开发成本和进度产生影响,开发团队可以通过自动化来改进。


实现软件合规性相关的风险和成本

软件组织面临的最大风险是软件故障,该软件故障可能导致死亡、受伤或其他类型的损害,从而可能导致责任。为了帮助减少这种风险,软件组织应遵守安全标准。组织必须证明他们做出了所有合理的工程选择,以确保用户/客户/操作员的安全。创建更安全的软件需要对精神和行业标准1的承诺。

返工,重新测试和重新记录

在软件生命周期的后期发现重大安全问题需要大量的返工,重新测试和重新记录。这很昂贵,需要时间解决。它还指出系统和工程过程中可能的故障。

在软件开发生命周期(SDLC)中尽早将左合规性转移至至关重要。(我们建议针对所有质量、安全性和安全性惯例向左移动。)为此,我们的建议包括正确的工具、过程和自动化,以帮助降低软件风险并提高合规性,而不会对成本和进度产生负面影响。

缺乏适合应用程序空间的流程

通常,许多组织缺乏采用适合应用程序空间的文化和流程。例如,对安全性要求很高的软件在软件开发中要求很高的严格度,这意味着更高的质量。

缺乏正确的工具和自动化

符合安全性和安全性要求的组织承担着繁重的工作量,其中涉及为每个软件阶段和过程提供合规性审核跟踪。除了通常的软件开发外,其他工作还包括:

  • 跟踪对代码和测试的需求。

  • 生成故障、代码覆盖率、修复和偏差的报告。

在大多数情况下,可使用编码标准,例如,ISO 26262MISRA。因此,团队必须努力纠正与标准的偏差并衡量合规性。

必须进行功能测试以证明产品符合要求。这是对安全性和安全性要求测试的补充。所有测试都需要可追溯性和审核文档。

综合起来,可追溯性、测试、严格的开发标准和文档级别的提高,大大增加了开发成本产品。这使得下游遵从问题的风险更加艰巨。

减少这些过程的工作量和繁琐的关键是自动化。


工具和自动化合规

软件开发工具通过使最重复和繁琐的流程自动化来帮助减少合规流程的工作量和错误。此外,工具更适合跟踪项目历史,并将结果与需求、软件组件、测试和记录的偏差相关联。

工具还有助于实施良好实践,例如编码标准、单元测试、代码覆盖率、可追溯性等。团队可以在生命周期的早期采用工具,以帮助您将合规工作负载转移到左边。


降低自动化合规的风险和成本

以下各节讨论Parasoft工具如何帮助降低合规风险和成本。


Parasoft产品如何适合SDLC经典V图表的每个阶段。

符合Parasoft工具的功能安全标准

开发安全关键软件并非易事。Parasoft通过提供广泛的开发测试和验证工具来减轻负担。以下是其中一些工具:

  • 编码标准符合性分析

  • 数据和控制流分析

  • 单元测试

  • 应用监控

  • 工作流程组件

Parasoft直接支持的标准包括:

软件开发团队可以使用Parasoft C/C++test达到合规性并节省时间。经过验证的工具可提供测试功能,可配置的上下文以及报告机制,以协助高级软件测试方法。

团队可以使用一种自动生成的报告和仪表板的实用方法来预防,暴露和纠正其软件中的错误。他们可以借助自动化工具认证来准备审核所需的文档。

Parasoft帮助组织执行静态分析、单元测试、结构代码覆盖率、需求可追溯性以及该标准推荐的其他测试方法。

汇编代码覆盖率

ParasoftAssembly Coverage ToolASMTool)满足DO-178B/C Level A提出的可执行对象代码建议。ASMTool可以毫不费力地从可执行对象代码生成结构覆盖率报告。

报告的结构覆盖率具有对编译器生成的代码的易于回顾的洞察力,这些代码不能直接追溯到源代码语句。它还跟踪开关语句,从而在机器语言指令级别提供对测试执行路径的全面了解。

ASMTool还支持从软件集成过程(目标硬件测试)和桌面开发环境(用于单元测试的Parasoft C/C++test)收集结构覆盖率。


ParasoftAssembly Coverage ToolASMTool

符合编码标准

编码标准在许多安全标准中都起着重要作用。在大多数情况下,要符合诸如AUTOSAR C++14(在汽车系统中使用)之类的编码标准的唯一实用方法是使用静态分析工具。Parasoft C/C++test支持编码标准的映射检查器,因此开发人员无需将警告回引用至标准。

团队可以根据他们使用的任何规则(AUTOSAR C++ 14HIC++MISRA等)所要求的要求,定制Parasoft的交互式报告系统,并实现高效的日常工作流程。开发人员可以在不离开IDE的情况下检查其代码的符合性,并将扫描过程集成到服务器上的CI构建中。

Parasoft还支持关注安全性的标准,例如SEI CERT。它可以帮助组织检测其代码中的安全漏洞,并管理实现符合标准的过程。符合CERT标准的代码检查器的高精度、低错误警报和复杂的合规性报告有助于最小化相关成本和开销。

Parasoft独特的合规性报告提供了动态的开发过程视图。交互式报告和自定义的仪表板可提供对CERT符合状态结果的不同视图,并使用标准定义的措辞和分类,以使其更易于理解。

兼容软件:编码标准

集中报告和文件生成

结合多种测试自动化技术可获得大量质量信息。这些数据很有用,但数量庞大,难以深入了解可交付成果的质量并难以就开发过程中的发布或更改做出决策。

为了支持决策,将数据汇总到集中的质量视图中是有益的。图形化的仪表板提供了测试进度的顶级视图。将质量数据与需求和用户案例相关联,可提供真正的双向可追溯性,因此您可以评估业务风险和测试实践中的差距所产生的影响。

Parasoft的报告和分析仪表板汇总了来自所有不同测试实践的数据,包括静态分析(如AUTOSARMISRA编码标准合规性)、单元测试、API测试和系统级功能验证的代码覆盖率和可追溯性。这提供了一个集中质量视图,它是实时审核或您的过程,以及对所需标准符合性状态的可见性。该分析还生成证明与审核员合规所需的文档。


Parasoft DTP集中了所有开发工具和开发阶段的质量集中视图。

作为示例,让我们看一下MISRASEI CERTParasoft C/C++testParasoft DTP的报告。

MISRA合规报告

Parasoft C/C++test提供了专用报告,用于记录对MISRA C的合规性。Parasoft Web门户上的仪表板提供了有关项目当前状态的概览视图,例如:


报告中心:MISRA C 2012合规性

这些仪表板小部件均可以链接到更详细的视图,其中包含详细的违规报告、文件和源代码。

从这里,您可以自动创建记录MISRA遵从性所需的报告,如《MISRA遵从性2016:概述与MISRA编码指南》中所述。自动化这些报告可节省大量时间,从而大大减少了记录项目合规性所需的手动工作量。

SEI CERT C合规报告

尽管SEI CERT C标准不需要特定的合规性报告,但确实需要一个项目来记录对规则集的符合性(例如L1L2和完全合规性。)Parasoft C/C++test包括一个专用于CERT的仪表板C一致性,如下所示:


报告中心:SEI CERT C合规性

团队负责人可以使用该仪表板视图来更深入地研究特定的关注领域,并为开发人员分配任务,以随着时间的推移提高合规性。在编码标准本身使用的风险评估框架的背景下查看结果(例如,看到违反L1准则的特定情况),极大地简化了流程。自动执行此报告可以减少团队负责人和架构师为实现CERT C合规性而需要执行的分析量。

工具资格

工具认证是安全性至关重要的软件开发的必需过程。 ParasoftParasoft C/C++test资格认证套件可自动执行创建工具文档的过程,以支持静态分析,单元测试和覆盖范围要求的工具认证,从而减少了潜在的人为错误并减少了执行工具认证所需的时间。

降低工具鉴定的风险和成本包括以下几点:

  • 自动生成合规性文档。通过引导用户通过直观的工作流程并生成对证明工具合格性至关重要的文档,Parasoft可以自动创建合格的Parasoft C/C++test以用于安全性至关重要的行业所需的文档。
  • 缩小使工具合格所需的范围。Parasoft高效工作流程的第一步是选择软件项目中使用的Parasoft C/C++test的特定用例和功能,以减少需要认证的整体范围并简化认证流程。
  • 自动执行测试。尽管工具鉴定的过程不能100%自动化,但是Parasoft鉴定工具的独特工作流程使它尽可能轻松,减少了手动测试工作,并针对选定的用例执行了自动化测试。


降低软件合规性的成本和风险

概述了Parasoft产品在每个开发阶段的作用,Parasoft如何降低风险并节省软件合规性?

多种测试技术集成到一个工具中。在开发具有功能安全要求的应用程序时,Parasoft C/C++test的全面性可以提高开发人员的效率。开发人员可以专注于他们的核心活动,而无需学习,集成和限定几种工具。工具集成商或架构师不必花时间在工具之间实现接口以交换数据和生成统一的报告。相反,他们可以直接从Parasoft获得所有这些。

经过验证的测试套件,专门用于对功能性至关重要的应用程序。在执行单元测试或运行时内存监视时,构建测试二进制文件所需的所有组件(包括用于测试代码激励和存根的测试用例)均以源代码的形式表示,并且可以进行版本控制和检查。这种方法优于其他工具,在这些工具中,从主机在运行时发送经过测试的代码的刺激,并且在分配给内存中的变量之前需要进行其他转换。C/C++test除去了不必要的层,并确保执行测试之前的内存状态与生产系统中的存储方式相同。

消除了用于功能安全合规的开销。通过Parasoft屡获殊荣的Process Intelligence EngineParasoft提供了整个团队的数据集成,针对不同编码标准定制的便捷报告以及高级分析功能。用户受益于跨多个不同源(例如源代码或需求管理系统测试工具或ALM)聚合信息以进行独特数据分析的能力,从而有助于以最有效的方式集中精力。团队可以通过监视开发过程中的趋势来提高生产力,并轻松生成符合行业标准(例如“MISRA Compliance: 2016”)的报告。


总结

建立对安全性和安全性至关重要的软件需要严格的过程,这些过程实施起来既耗时又昂贵,并且有充分的理由:此类软件的故障可能会带来严重的后果。制定了行业标准,以帮助指导公司构建高质量的软件,以确保已开发产品的安全性。但是,满足这些行业标准的成本很高。该成本既包含开发过程,又包含记录工程过程所需的工件。组织可以通过正确使用工具和现代软件技术来降低成本。

Parasoft为流程提供了正确的工具和支持,通过经过验证的统一工具套件,可帮助降低流程合规性的风险和成本,从而减少因使用多家供应商的多种工具而造成的“摩擦”。集成的解决方案还可以大大简化工具认证,这是合规性的关键方面。

有了集成平台,就可以在开发的各个阶段从多个工具收集独特的数据分析,从而将资源集中在最重要的目标上。这种合规性、质量和安全性的集中视图是做出合理决策并大大减少实现合规性的猜测的关键。



标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@cahobeh.cn


为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP