Seite 7: Hilfreich, aber nicht perfekt

Inhaltsverzeichnis

Software zur statischen Quellcodeanalyse hilft fraglos beim Auffinden von Fehlern. Allerdings gehen die wichtigen Feststellungen in einer Flut unwichtiger Meldungen unter, sodass Tester die Konfiguration für alle Produkte genau anpassen müssen.

Wer strengen Auflagen wie dem MISRA-Standard folgt beziehungsweise folgen muss, hat den Vorteil, dass alle Tools die Standards in Form von Regelwerken unterstützen. Unter dem Strich bleibt zu sagen, dass derjenige, der mehr Geld ausgibt, auch ein leistungsstärkeres Tool erhält – hinsichtlich der Prüfqualität oder dem Funktionsumfang.

Alle Programme beherrschen nur Englisch als in Europa relevante Ausgabesprache – der Vollständigkeit halber sei erwähnt, dass einige zusätzlich asiatische Sprachen anbieten. Abschließend lässt sich festhalten, dass der Sourcecode nach den von den Analysewerkzeugen vorgeschlagenen Änderungen nicht fehlerfrei ist.

Die für den Artikel verwendeten, einfachen Tests sind auf GitHub verfügbar. Eine Umfangeiche Testsuite findet sich in der NIST-Bibliothek.

Marc Heuse
arbeitet seit über 20 Jahren ausschließlich in der IT-Sicherheit und hat viele bekannte Programme wie hydra, thc-ipv6, afl++, SuSEfirewall entwickelt. Er arbeitet als unabhängiger Sicherheitsberater und Pentester in Berlin. (rme)