Sichere Daten- und Kontrollflussanalyse für Medizinsoftware

Die Entwicklung von Medizinsoftware ist an internationale Normen und nationale Richtlinien zur Funktionalen Sicherheit und Cybersecurity gebunden. Allen Sicherheitsnormen gemeinsam ist die Anforderung, den Daten- und Kontrollfluss im Quellprogramm zu ermitteln und sicherzustellen, dass er dem auf Architekturebene spezifizierten Daten- und Kontrollfluss entspricht. Die sich durch den Daten und Kontrollfluss ergebenden Abhängigkeiten zwischen Softwarekomponenten wird als Daten- und Kontrollkopplung bezeichnet.
Traditionelle statische Analyse kann nicht garantieren, dass alle möglichen Werte von Daten- und Funktionszeigern berücksichtigt werden.

Der berechnete Daten- und Kontrollfluss könnte unvollständig sein, so dass kritische Interaktionen von Softwarekomponenten übersehen werden könnten. Das Verfahren der formalen statischen Analyse auf Basis der Abstrakten Interpretation geht diese Lücke an: Sie ermöglicht es, sicherzustellen, dass keine Daten- und Kontrollkorruption durch Laufzeitfehler auftreten, und dass bei der Analyse alle möglichen Daten- und Funktionszeiger berücksichtigt werden, der berechnete Daten- und Kontrollfluss somit vollständig ist.
In diesem Vortrag wird eine Methodik vorgestellt, mit der sich die Daten- und Kontrollkopplung zwischen Softwarekomponenten sicher bestimmen lässt.

Kritische Interaktionen, z.B. Abhängigkeiten zwischen Trusted- und Non-Trusted Code, können schnell identifiziert werden. Daten- und Kontrollkorruption durch Laufzeitfehler kann ausgeschlossen werden, und die Wechselwirkungsfreiheit von Softwarekomponenten kann nachgewiesen werden. Mit Hilfe der berechneten Daten- und Kontrollkopplung können bislang ungetestete Szenarien im Integrationstest ermittelt werden, der Testprozess optimiert werden, und die Übereinstimmung der Komponenteninteraktionen mit der spezifizierten Softwarearchitektur geprüft werden.

 

Was lernen die Zuhörer in dem Vortrag:

Wir zeigen, was Sicherheitsnormen fordern: Wie kann die Korrektheit des Daten- und Kontrollflusses nachgewiesen werden? Wie können alle möglichen Wechselwirkungen von Softwarekomponenten sicher bestimmt werden? Was sind eigentlich statische Analyseverfahren, und wie kann insbesondere die formale statische Analyse durch Abstrakte Interpretation zur sicheren Daten- und Kontrollkopplungsanalyse beitragen?

 

Referent: Dr. Jörg Herter, AbsInt GmbH

Jörg Herter studierte Informatik an der Universität des Saarlandes und promovierte dort zum Doktor der Ingenieurwissenschaften. Sein derzeitiges Arbeitsgebiet umfaßt das Thema funktionale Sicherheit sowie die formale Validierung und Verifikation sicherheitskritischer Software. Jörg Herter arbeitet als leitender technischer Berater bei AbsInt und hält regelmäßig Vorlesungen über statische Programmanalyse, eingebettete Systeme und Übersetzerbau an der Hochschule für Technik und Wirtschaft des Saarlandes sowie an der Universität Luxemburg.

Key Facts

Themengebiet: Safety und Security

Zielgruppe: Software-Entwickler, Software-Tester, Safety-Manager, Security-Manager

Anspruch: Fortgeschrittene

Schlüsselwörter: Daten- und Kontrollflussanalyse, Daten- und Kontrollkopplung, statische Analyse, Abstrakte Interpretation, Taint Analyse, funktionale Sicherheit, Cybersecurity

Datum und Uhrzeit: 10. Mai 2022, 16 Uhr 45 bis 17 Uhr 30

Raum: Paris

Copyright © 2022 HLMC Events GmbH