VDC Research analysiert im Report „Software Quality and Security Challenges from Rapid Rise of Third-Party Code“ die Herausforderungen beim Programmieren von hochwertigem Code und erklärt, warum immer mehr Embedded-Teams Fremdcode nutzen. Letztlich können sie nur so ihre engen Auslieferungstermine einhalten. Wenn Code aus verschiedenen Quellen kommt, wird allerdings die Integration schwieriger und es gibt mehr Fallstricke, die die Sicherheit gefährden. Das gilt insbesondere für Binärcode, bei dem der Entwickler den Quellcode nicht überprüfen kann.

„Nach unserer Recherche berichten über 40 % der Embedded-Entwickler über Terminverzögerungen bei Projekten – daher sehen wir einen deutlichen Anstieg beim Einsatz von Open-Source-Code und anderem Fremdcode, um verschobenen Auslieferungsterminen entgegenzuwirken“, erläutert Andre Girard, Senior Analyst bei VDC. Gerade wenn Software-Fähigkeiten von Embedded-Systemen einen Innovationstreiber darstellen, hilft der Einsatz von Fremdcode. „Entwicklern fehlt aber der Zugang zum Quellcode von kommerziellem 3rd-Party-Quellcode. Werden die Binaries der Fremdzulieferer nicht geprüft, kann das kann zu gefährlichen Qualitäts- und Sicherheitslücken führen.“

In den kommenden Jahren wird laut einer VDC-Analyse der Einsatz von fremdem Binärcode in Embedded-Projekten deutliche zunehmen.

In den kommenden Jahren wird laut einer VDC-Analyse der Einsatz von fremdem Binärcode in Embedded-Projekten deutliche zunehmen.Grammatech

Fremder Binärcode

Viele der von der VDC befragten Entwickler erwarten einen Anstieg von kommerziellem Fremdcode in allen wichtigen Industrien. Nach den Ergebnissen der Studie erwarten 40,5 % der Befragten aus der Herstellung von medizinischen Geräten, 28,6 % aus Luftfahrt und Verteidigung und 22,2 % aus Automotive und Bahntechnik eine Steigerung bei kommerziellem Fremdcode. Fehlt den Entwicklungsteams der Zugang zur Quelle von diesem Fremdcode, können sie keine standardmäßige Quellcode-Analyse nutzen, um in solchen Komponenten Fehler aufzudecken. Hier bietet die Binärcode-Analyse Abhilfe: Sie führt eine Analyse auf dem Binary der vorhandenen Codebasis aus und liefert Reports über Teile ihres Code, der sonst ein Geheimnis bliebe. Dazu erläutert Paul Anderson, Vice President Engineering bei Grammatech: „Die Erweiterung von Code-Sonar um die Binäranalyse war ein logischer nächster Schritt zu unserem Ziel, Entwicklern eine komplette statische Analyselösung zur Verfügung zu stellen.“

Zusätzlich zum verstärkten Einsatz von kommerziellem Fremdcode stellten die VDC-Forscher auch fest, dass der Code-Umfang von Embedded-Projekten etwa doppelt so schnell wächst wie die Community der Embedded-Entwickler – das unterstreicht die Wichtigkeit einer stabilen automatisierten Testsuite. „Die Nachfrage nach Innovationen im Embedded-Bereich lässt sich mit Entwicklern alleine nicht erfüllen“, ergänzt Girard. „Um die Herausforderungen bei Qualität und Sicherheit von schnell wachsenden Embedded-Codebasen flexibel zu erfüllen, benötigen die Teams leistungsstarke Tools, einschließlich statischer Binäranalyse.“