Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

Aufrufe
vor 3 Jahren

3-2021

  • Text
  • Module
  • Elektromechanik
  • Positioniersysteme
  • Antriebe
  • Stromversorgung
  • Hmi
  • Kommunikation
  • Robotik
  • Qualitaetssicherung
  • Bildverarbeitung
  • Automatisierungstechnik
  • Sensorik
  • Visualisieren
  • Regeln
  • Boards
  • Sbc
  • Software
  • Pc
  • Bauelemente
  • Messtechnik
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik

Sicherheit

Sicherheit Literaturverzeichnis [1] Hicken Arthur, Parasoft, Embedded Cybersecurity Through Secure Coding Standards CWE and CERT, veröffentlicht auf https://alm.parasoft.com/embedded-cybersecurity-through-secure-coding-standards-cwe-and-cert [2] MITRE Corporation, Common Vulnerabilities and Exposures (CVE), veröffentlicht auf https://cve.mitre.org/ [3] MITRE Corporation, Common Weakness Enumeration (CWE), veröffentlicht auf https://cwe.mitre.org/ [4] IEC, IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safetyrelated systems - Part 3: Software requirements [5] ISO, ISO 26262-6:2011(en) Road vehicles - Functional safety - Part 6: Product development at the software level [6] Carnegie Mellon University, SEI CERT C Coding Standard, veröffentlicht auf https://wiki.sei.cmu.edu/confluence/display/c/SEI+CERT+CODIERSTANDARDCoding+Standard [7] Carnegie Mellon University, SEI CERT C++ Coding Standard, veröffentlicht auf https://wiki.sei.cmu.edu/confluence/pages/viewpage.action?pageId=88046682 • Nutzt das Tool Risk-Scoring-Algorithmen als Hilfestellung beim Priorisieren der gefundenen Defekte? Die CWE Community betreibt zusätzlich das CWE Compatibility and Effectiveness Program, einen formellen Prüf- und Evaluierungsprozess für ein Produkt oder einen Service. Die Liste mit Produkten und Services, die als „Officially CWE-Compatible“ eingestuft werden, umfasst rund 55 Einträge. Wird das gewählte Tool in dieser Liste geführt, ist sichergestellt, dass es die finale Stufe des formellen CWE Compatibility Program der MITRE- Organisation erreicht hat. Sind der Programmierstandard und die erforderlichen Tools festgelegt, sollte die weitere Arbeit für die von Grund auf neu gestarteten Softwareprojekte einfach sein: Man muss nur das Tool in das CI- System integrieren und sicherstellen, dass kein Defekt unberücksichtigt bleibt. Software in der Etnwicklung In aller Regel aber müssen Programmierstandards auch für Software durchgesetzt werden, die sich bereits in der Entwicklung befindet. Dann kann das blinde Ausführen der Analyse mit der gesamten Codebasis zu Hunderten von Defektmeldungen führen, die in ihrer Gesamtheit schwierig zu handhaben sind. Glücklicherweise stehen mehrere Techniken zur Verfügung, um diesen Vorgang zu vereinfachen. Am besten ist es, sich zunächst auf den neu geschriebenen oder modifizierten Code zu konzentrieren. So lässt sich sicherstellen, dass nach Einrichtung des Programmierstandards zumindest keine neuen Defekte entstehen. Eine weitere bewährte Vorgehensweise ist das Einordnen der gemeldeten Defekte nach ihrer Wichtigkeit, so dass die gravierendsten Fehler als erste bearbeitet werden. Zum Beispiel gibt es für die CERT C- und CERT C++-Regeln eine Risikobewertung, die eine einfache Priorisierung der gefundenen Defekte gestattet (siehe Tabelle 3). Auch hilfreich ist eine nach Priorität geordnete Liste der Defekte im Verbund mit der konfigurierbaren Liste der durchzusetzenden Regeln, um sich zunächst auf die Regeln mit dem höchsten Schweregrad zu konzentrieren und die Zahl der Regeln auszuweiten, nachdem die gravierendsten Fehler behoben sind. Praktische Umsetzung Am wichtigsten ist es sicherzustellen, dass sich geeignete Maßnahmen des Entwicklungsteams an die Analyse anschließen. Denn auch die besten Berichte der statischen Analyse sind nutzlos, wenn sie von den Entwicklern nicht zum Reparieren des Codes genutzt werden, um Softwareprodukte hervorzubringen, die in Sachen Safety und Security besser sind. Erläuterungen (*1) CVE Numbering Authorities (CNAs) sind unterschiedliche Organisationen (u. a. Schwachstellen- Erforscher, Produktanbieter sowie Bug-Bounty-Programme, die gleichsam ein Kopfgeld für die Auf deckung von Programmfehlern aussetzen) auf der ganzen Welt, die die Berechtigung haben, erkannte Probleme mit CVE-IDs zu versehen. (*2) MISRA C und MISRA C++ wurden von der MISRA (Motor Industry Software Reliability Association) entwickelt, die AUTOSAR C++ Codierrichtlinien dagegen von der AUTOSAR (AUTomotive Open System ARchitecture) Entwicklungspartnerschaft. Für die Entwicklung des JSF AV C++ Codierstandards zeichnet die Lockheed Martin Corporation verantwortlich. Die SEI CERT C und C++ Codierstandards enthalten allgemeine Regeln, die die Safety, Zuverlässigkeit und Security von Softwaresystemen, die in den Programmiersprachen C und C++ entwickelt wurden, gewährleisten sollen. ◄ Fachbücher für die Praxis Digitale Oszilloskope Der Weg zum professionellen Messen Joachim Müller Format 21 x 28 cm, Broschur, 388 Seiten, ISBN 978-3-88976-168-2 beam-Verlag 2017, 24,95 € Ein Blick in den Inhalt zeigt, in welcher Breite das Thema behandelt wird: • Verbindung zum Messobjekt über passive und aktive Messköpfe • Das Vertikalsystem – Frontend und Analog-Digital-Converter • Das Horizontalsystem – Sampling und Akquisition • Trigger-System • Frequenzanalyse-Funktion – FFT • Praxis-Demonstationen: Untersuchung von Taktsignalen, Demonstration Aliasing, Einfluss der Tastkopfimpedanz • Einstellungen der Dezimation, Rekonstruktion, Interpolation • Die „Sünden“ beim Masseanschluss • EMV-Messung an einem Schaltnetzteil • Messung der Kanalleistung Weitere Themen für die praktischen Anwendungs-Demos sind u.a.: Abgleich passiver Tastköpfe, Demonstration der Blindzeit, Demonstration FFT, Ratgeber Spektrumdarstellung, Dezimation, Interpolation, Samplerate, Ratgeber: Gekonnt triggern. Im Anhang des Werks findet sich eine umfassende Zusammenstellung der verwendeten Formeln und Diagramme. Unser gesamtes Buchprogramm finden Sie unter www.beam-verlag.de oder bestellen Sie über info@beam-verlag.de 20 PC & Industrie 3/2021

EMBEDDED. INTELLIGENT. SYSTEMS. JOIN THE DIGITAL EVENT! 1.– 5.3.2021 Jetzt Ticket sichern! embedded-world.de/ticket Medienpartner

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel