CodePeer ist offiziell CWE-kompatibel
Paris, 6. Dezember 2016 – Das Analysetool CodePeer von AdaCore ist nun offiziell "CWE-kompatibel". Damit wurde auf Basis dieses Branchenstandards bestätigt, dass das Tool die häufigsten Arten von Schwachstellen in Software entdecken kann.
AdaCore CodePeer, das statische Analysetool für die Programmiersprache Ada wurde in der Common Weakness Enumeration (CWE) der MITRE Corporation im Rahmen des Compatibility and Effectiveness Program offiziell als "CWE-kompatibel" eingestuft. Dieses Programm ist eine webbasierte Initiative, die Informationen über Cyber-Security-Produkte und -Dienste konsolidiert und organisiert. Die CWE ist eine Liste allgemein bekannter Softwareschwächen; die MITRE Corporation entstand als Abspaltung vom Massachusetts Institute of Technology (MIT) und ist eine Non-Profit-Organisation, die im Auftrag der Vereinigten Staaten Forschungsinstitute betreibt.
CodePeer wurde auf Grund seiner Fähigkeit, die folgenden Code-Schwachstellen, die zu den gefährlichsten Softwarefehlern zählen, zu erkennen, als CWE-kompatibel bewertet:
- CWE-120 – klassischer Pufferüberlauf:
- CWE-131 – falsche Berechnung der Puffergröße;
- CWE-190 – Integer Overflow oder Wraparound
Eine Reihe weiterer CWE-Schwachstellen werden von CodePeer ebenfalls erkannt:
| Test | CWE-Schwachstellen-Nummer |
|---|---|
| Array index out of bounds | CWE 124, 125-127, 129, 130-131, 135, 170, 193 |
| Division by zero | CWE 189 |
| Dereferencing a null pointer | CWE 252-253, 476 |
| Numeric overflow | CWE 128, 190-192, 197 |
| Range constraint violation | CWE 118 |
| Variant record field violation | CWE 136-137 |
| Use of incorrect type in inheritance hierarchy | CWE 136-137 |
| Dead (unreachable) code | CWE 561 |
| Reference to uninitialized variable | CWE 232, 236, 475 |
| Test predetermined (redundant conditional) | CWE 561 |
| Loop runs forever or fails to complete normally | CWE 835 |
| Unused (redundant) or useless assignment, or unused “out” parameter | CWE 563 |
| Unprotected access to shared variable | CWE 362, 366-367, 374, 820 |
"Es ist ein großer Erfolg für uns, dass CodePeer offiziell als CWE-kompatibel erkannt wurde", sagt Cyrille Comar, Managing Director bei AdaCore. "Die tiefgehende Analyse von Ada-Code, die CodePeer durchführt, erlaubt eine frühzeitige Behebung von Fehlerquellen und macht Ada damit zu einer sicheren Basis für besonders kritische Anwendungen."
Über CodePeer
CodePeer ist ein Source Code Analyzer für die Programmiersprache Ada, der Laufzeit- und Logikfehler erkennt. Er bewertet mögliche Fehler vor der Programmausführung und dient als automatisierter Peer-Reviewer, der hilft, Fehler effizient und früh im Entwicklungszyklus zu entdecken. Es kann auch eine Impact-Analyse durchführen, wenn Änderungen in einen Code eingeführt werden. Durch den Einsatz von Control-Flow-, Data-Flow- und anderen fortgeschrittenen statischen Analysetechniken findet CodePeer Fehler, die sonst nur durch arbeitsintensives Debugging zu erkennen wären.
Die Tiefenanalyse des Tools unterstützt direkt die formale Zertifizierung nach branchenspezifischen Sicherheitsstandards. Für Avionik-Anwendungen wurde CodePeer als Softwareverifikationstool unter DO-178B qualifiziert, wodurch eine Reihe von Verifikationsaktivitäten in Paragraph 6.3.4f (Accuracy and Consistency) automatisiert wurden. CodePeer wurde außerdem für die EN 50128, den höchsten internationalen Standard für Sicherheitsintegrität für Software im Bereich Eisenbahnen, einschließlich Kommunikations-, Signal- und Verarbeitungssysteme, qualifiziert.
CodePeer ist vollständig in die Entwicklungsumgebung GNAT Pro von Adacore integriert und verfügt über eine Reihe komplementärer statischer Analysewerkzeuge für diese Technologie – ein Tool zur Verifizierung des Codierungs-Standards (GNATcheck), einen Generator für Quellcode-Metriken (GNATmetric) und einen Generator für Dokumente.
Diese Presseinformation kann unter www.pr-com.de/adacore abgerufen werden.
Über AdaCore
AdaCore wurde 1994 gegründet und bietet Tools für Software-Entwicklung und Verifikation für kritische und sicherheitskritische Systeme. Zu den wichtigsten Produkten von AdaCore gehören die GNAT-Pro-Entwicklungsumgebung für Ada, das statische Analyse-Tool CodePeer, die Verifikationsumgebung SPARK Pro und das modellbasierte Entwicklungswerkzeug QGen. Zahlreiche Anwender haben die AdaCore-Produkte im Einsatz und unterhalten damit eine Vielzahl von kritischen Anwendungen in Bereichen wie Raumfahrtsysteme, kommerzielle Luftfahrt, militärische Systeme, im Flugverkehrsmanagement, bei Schienensystemen, bei Geräten der Medizintechnik und bei Finanzdienstleistungen. AdaCore verfügt über eine umfangreiche und wachsende weltweite Kundenbasis; nähere Informationen dazu unter www.adacore.com/customers
AdaCore-Produkte sind Open-Source und werden mit Online-Support durch die Entwickler zur Verfügung gestellt. Das Unternehmen hat seinen nordamerikanischen Hauptsitz in New York, der europäische Hauptsitz ist in Paris. Weitere Informationen unter www.adacore.com
Pressekontakte:
AdaCore
Jamie Ayre
press@AdaCore.com
www.AdaCore.com
http://twitter.com/AdaCoreCompany
PR-COM GmbH
Andrea Groß
andrea.gross@pr-com.de
www.pr-com.de
Tel. +49-89-59997-803