:quality(80)/p7i.vogel.de/wcms/cc/63/cc633c6ae01e9a05c6ad9bae5b5e6342/0114957799.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/e3/51/e351df5354192adf7d956e215009d6b3/0114109618.jpeg "BigData-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/e6/96e60b3e07811469fae0765f59d21ac8/0115431124.jpeg "Immer mehr Endgeräte enthalten Funktionen, die KI-Berechnungen erfordern – etwa smarte Thermostate mit Sprachsteuerung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/59/87/59873b6cd5bc2d145cc9cc4ca5b4bce2/0115409344.jpeg "Ab sofort steht das E-Book „Datenbank-Migration“ kostenlos zum Download bereit. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6f/f2/6ff2c367392718cb04abc430a5f3164e/0115129475.jpeg "Der Autor: Fabian Czicholl ist Regional Vice President bei Appian Deutschland (Bild: Appian Deutschland)")
:quality(80)/p7i.vogel.de/wcms/22/f4/22f4c64614992c01d14278c077071484/0115225608.jpeg "Databricks will mit seinen Produkten dazu beitragen, dass Daten von möglichst vielen im Unternehmen genutzt werden können. Wie, das präsentierte das Unternehmen auf der Data + AI World in München. (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/35/73/3573691301b24cb1430f406d21795e8f/0115090776.jpeg "Snowflake hat seine Datenplattform mit neuen Funktionen für generative KI und Large Language Models (LLM) ausgestattet.
(Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/ab/ab/ababa8290b2f0ac5101dba1dafc34d21/0115041361.jpeg "Mit dem FinOps-Dashboard lassen sich u.a. die Kosten für Rechenleistung und Ingress-/Egress-Datenverkehr über verschiedene Datenbanken, Data Lakes und andere Datenplattformen kontrollieren. (Bild: Denodo)")
:quality(80)/p7i.vogel.de/wcms/16/08/1608bee91673491923b0efdabb759387/0115427536.jpeg "Rund 80 Anwender nahmen online am zehnten Pentaho User Meeting teil. Acht Erfahrungsberichte von Organisationen wie der Bundesdruckerei, dem Wahnbachtalsperrenverband und der Blechwarenfabrik Limburg sorgten für interessante Einblicke. (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/40/15/4015fd725ee29ee165bc0b46774ed190/0115060834.jpeg "Neo4j hat seiner gleichnamigen Graphdatenbank einige neue Funktionen spendiert. (Bild: Neo4j)")
:quality(80)/p7i.vogel.de/wcms/2f/58/2f5841e0f849cb177d3dfa0c9085c290/0115054659.jpeg "Laut Forrester haben zwölf Prozent der Unternehmen mit einer soliden KI-Strategie inzwischen einen Chief AI Officer (CAIO). (Bild: © – ImageFlow – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/47/5d470bfea2f6fad3d5649c1eb09260a2/0115230515.jpeg "EIne interessante Alternative zur kompletten internen Bewältigung eines Big-Data-Projekts ist der Einsatz entsprechend spezialisierter Consulting-Anbieter. Die externen Berater entschärfen die ansonsten nötige und oft langwierige Suche nach geeignetem Fachpersonal. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/a8/a8a83d37d618ead6775e9e8f695c2475/0114694022.jpeg "Das KI-Theme nach einer Reihe von Nachfragen: Es sieht OK aus, aber das Menü will GPT einfach nicht korrekt anordnen. (Bild: Rentrop / WordPress)")
:quality(80)/p7i.vogel.de/wcms/30/c8/30c8d75e49b3ef7b344d97b024ea4939/0115041243.jpeg "Die Küste der Isle of Wight. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b4/31/b4311c55605fa804d0d420edc5c2a8e7/0115040726.jpeg "Siemens und Microsoft intensivieren ihre Zusammenarbeit. Dabei geht es um die breitgefächerte Einführung von generativer KI, um etwa ein industrielles Metaversum zu schaffen. Damit sollen sich viele Workflows in unterschiedlichen Sektoren straffen lassen. Lesen Sie hier, was da kommt. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/5c/24/5c24f198724184d13f3c94cb0128f983/0115040401.jpeg "Akustische Sensoren haben das Potenzial, in vielen Anwendungsfällen einen Mehrwert zu bieten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ed/da/edda0b04adad8a59c3acaa03320b4268/0114820023.jpeg "Das IoT Cockpit ist in maximal drei Monaten mit bis zu 90 Prozent reduzierten Kosten startklar. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/61/6c/616c546266e3a4c49bc98b75290d96da/0114243058.jpeg "Der Autor: John Armstrong ist CTO von Worldly (Bild: Worldly)")
:quality(80)/p7i.vogel.de/wcms/00/d6/00d675c65ddde98e0412e533e01dd85e/0114239415.jpeg "Der Autor: Balakrishna DR ist Head of AI bei Infosys (Bild: Infosys)")
:quality(80)/p7i.vogel.de/wcms/c7/8b/c78bd9fc394a96cc05c43d0562298c3d/0115381887.jpeg "Im Dashboard von Watsonx.governance werden 60 Aufgaben angezeigt, wovon einige überfällig sind. Interessant ist auch die Risikobewertung ganz rechts. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/86/21/8621b6e57693364354a9dd97f19c724f/0115236824.jpeg "Generative KI-Tools wie ChatGPT, Bard und Copilot sollten mit Vorsicht am Arbeitsplatz verwendet werden. (Bild: Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/20/8120258a96e7459bb24645e174014521/0115459104.jpeg "Eine Studie von Dell Technologies untersucht die Bereitschaft zur Nutzung generativer KI (GenAI) in Deutschland, Frankreich, Großbritannien und den USA. Dabei liegt Deutschland bei den meisten Kriterien gleichauf mit den anderen Staaten, wobei On-Premises- oder hybride IT-Architekturen hierzulande für KI-Projekte besonders beliebt sind. (Bild: fotomek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/cf/9dcf7a85f60a5b5c0296801d7611653f/0115187563.jpeg "Die überwiegende Mehrheit erachtet eine Effizienzsteigerung von mindestens sechs Prozent bis 2025 für realistisch. (Bild: Roland Berger)")
:quality(80)/p7i.vogel.de/wcms/83/17/831724ef44558d04c6df32305e3062c6/0115211620.jpeg "Berührungspunkte mit KI sind mittlerweile im Alltag reichlich zu finden. (Bild: One Data)")
:quality(80)/p7i.vogel.de/wcms/8e/64/8e64ad0202afa7fa962f9e833e50ee8a/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/ac/49ac99249bcb88bc4d44968f96f6459c/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e1/8be1bb491961630da774a593730f8d24/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/41/20417a446bb176dd6345da11bb442406/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
Absichern für die Zukunft Drei praktische Ansätze, um IoT-Geräte zukunftsfsicher zu machen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/59/6059ec8792226/qunis-logo-f--r-bigdatainsider.png "QUNIS-Logo-für-Bigdatainsider.png (QUNIS GmbH)"){kind=logo}
Noch gibt es für IoT-Geräte keine verpflichtenden Standards, doch entsprechende Normen kündigen sich bereits an. Wie können Entwickler jetzt schon dafür sorgen, dass ihre Software auch künftigen Anforderungen standhalten wird?
Trotz des Potenzials für Embedded Devices im IoT-Umfeld müssen viele Geräte derzeit keine Sicherheitsstandards einhalten, auch wenn sie heute schon die Sicherheit, den Datenschutz und die Privatsphäre ihrer Nutzer beeinträchtigen können. In der agilen Welt der IoT-Entwicklung können Konformitätsanforderungen viel später hinzukommen, nachdem der Code bereits geschrieben und getestet worden ist. Weil ein Ausfall unter Umständen tödlich sein kann, ist es von entscheidender Bedeutung, diese Geräte nach den geltenden Normen zu bauen. Wie lassen sich also embedded IoT-Geräte zukunftsfähig gestalten?
Am besten ist es, Konformitätsaktivitäten von Anfang an in das Softwaredesign einzubinden, auch wenn es eine bekannte Tatsache ist, dass strikte Entwicklungsprozesse (insbesondere ohne die Hilfe von Automatisierung) die Markteinführungszeit verzögern können. Nicht viele Entwickler führen gerne zusätzliche Tests durch und dokumentieren die Rückverfolgbarkeit außerhalb der normalen Arbeitszeiten. Pragmatische, agile und schnell arbeitende Teams können es sich daher oft nicht leisten, den Zeitplan wegen der Einhaltung von Richtlinien zu überziehen, nur weil sie diese in der Zukunft „vielleicht brauchen“. Stattdessen entscheiden sie sich oft dafür, sich darum zu kümmern, wenn es „notwendig wird“.
Es gibt leider keinen Zauberstab oder Patentrezept, um den Code rückwirkend konform zu machen. Diese Unternehmen lernen auf die harte Tour, dass die Kosten für das Hinzufügen der Konformität am Ende des Projekts um Größenordnungen höher sind als die Kosten für die Entwicklung des ursprünglichen funktionalen Produkts.
Welche Maßnahmen können Sie also schon heute ergreifen, um die strengen Compliance-Anforderungen von morgen zu erfüllen?
Verschaffen Sie sich Einblick in Ihre technischen Schulden
Es ist wichtig zu verstehen, wo Ihr Projekt im Augenblick steht. Die Höhe der technischen Schulden entspricht den Kosten für potenzielle Nacharbeiten aufgrund der Komplexität des Codes in Verbindung mit den verbleibenden Verstößen gegen die Programmierstandards und die Sicherheitsregeln, die derzeit im Code vorhanden sind. Diese Schulden sind der anschließenden Bereinigung, Korrektur und Prüfung des Codes geschuldet. Eine Möglichkeit, um sich einen guten Überblick über den aktuellen Stand eines Projekts zu verschaffen, ist die automatisierte statische Codeanalyse. Sie gibt Aufschluss über die Qualität und Sicherheit einer Codebasis und zeigt gegebenenfalls Verletzungen der Programmierstandards auf.
Leider verlassen sich viele Teams, die embedded Anwendungen in C und C++ entwickeln, immer noch auf ihren Compiler oder manuelle Code-Reviews, um Probleme zu erkennen, anstatt statische Analysen einzusetzen. Teams tun sich aus verschiedensten Gründen schwer mit der Einführung statischer Analysewerkzeuge, z. B. weil sie sie als lästig und schwer zu bedienen empfinden, oder weil sie es aufgrund dringender alltäglicher Angelegenheiten nicht schaffen, sie in den täglichen Entwicklungsprozess einzubauen. Eine verbreitete (Fehl-)Wahrnehmung ist, dass der zeitliche Aufwand für die Ermittlung der behebungswürdigen Verstöße größer ist als der Wert der tatsächlichen Korrektur.
Nach unseren Erkenntnissen mussten Teams, die eine kleine Anzahl entscheidender und verbindlicher Regeln übernommen haben, viel weniger Zeit für die Überarbeitung des Codes aufwenden, wenn sie später im Projekt mit Audits zur funktionalen Sicherheit konfrontiert wurden. Es ist viel einfacher, sichere Systeme von Grund auf zu entwickeln, indem man die Sicherheit einbaut, beispielsweise durch die Umsetzung der CERT C Secure Coding Guidelines. Man kann auch klein anfangen, denn CERT verfügt über ein ausgeklügeltes Priorisierungssystem (mit Schweregrad, Wahrscheinlichkeit und Kosten für die Behebung, jeweils in 3 Stufen, insgesamt 27 Stufen). Wenn Sie Parasoft-Tools verwenden, können Sie den Status der Konformität leicht in einem vorkonfigurierten Dashboard einsehen.
Mit der statischen Analyse können Unternehmen auch ihre technischen Schulden besser verstehen, weil sie Datenpunkte sammelt, die die Geschäftsführung bei der Einhaltung von Sicherheitsvorschriften unterstützen. Manager können auf einfache Weise wichtige Fragen beantworten, wie z. B.:
- Was ist meine Baseline? Wie viele unkritische Verstöße gegen Codierungsstandards gibt es in meiner Codebasis?
- Tendenzdaten: Werden bei jedem Build neue und behobene Verstöße gemeldet? Werden wir besser oder schlechter?
- Wie hoch ist die Komplexität meines Codes heute? Nimmt sie zu?
Einige Normen verlangen die Erfassung der zyklomatischen Komplexität, um sie unter einem bestimmten Schwellenwert zu halten. Mithilfe von Komplexitätsmetriken lässt sich auch der Testaufwand abschätzen: Beispielsweise ist die Anzahl der Testfälle, die für den Nachweis einer 100-prozentigen Abdeckung der Verzweigungsebene erforderlich sind, um die IEC 61508 SIL2 zu erfüllen, proportional zur zyklomatischen Komplexität einer Funktion nach McCabe.
Oben sehen Sie ein Beispiel für ein Dashboard, das die MISRA -Konformität eines Projekts in Parasoft DTP, der Berichts- und Analyseplattform von Parasoft, zeigt. Die Anzeige der Codemetriken kann dazu beitragen, komplexere Bereiche für eine zusätzliche Codeüberprüfung aufzudecken und zu prüfen, wie gut diese Bereiche durch Tests abgedeckt sind.
Links ist ein Beispiel für ein Metrics-Dashboard zu sehen. Sie können also mit den Grundlagen beginnen. Sobald das Team mit den kritischsten Fehlern vertraut ist, können Sie die Verstöße gegen die Standards ausweiten. Nicht alle Regeln sind „in Stein gemeißelt“, sodass es wichtig ist, zu entscheiden, welche Regeln in den Kodierungsstandard des Projekts aufgenommen werden oder nicht. Zumindest die Übernahme der obligatorischen Regeln in einigen wichtigen Kodierungsstandards (z. B. die obligatorischen MISRA- oder CERT-C-Regeln) erleichtert die künftige Sicherheitsargumentation für ein angeschlossenes Gerät.
Richten Sie ein qualifizierbares Unit-Test-Framework ein
Die meisten pragmatischen Entwickler sind sich einig, dass das blinde Erstellen von Unit-Tests für alle ihrer Funktionen keinen guten ROI bringt. Hat Ihr Team jedoch Zugang zu einem Unit-Testing-Framework als Teil der Projekt-Sandbox, ist dies eine wertvolle Investition. Unit-Tests lassen sich intelligent einsetzen, wenn Entwickler das Gefühl haben, dass sie bestimmte komplexe Algorithmen oder Datenmanipulationen isoliert testen müssen. Auch der Prozess der Entwicklung von Unit-Tests ist von erheblichem Wert – wir haben in Unternehmen festgestellt, dass durch die Praxis des einfachen Schreibens und Ausführens von Unit-Tests der Code robuster und besser konzipiert ist.
Wenn Anforderungen an die Sicherheit oder die Einhaltung von Vorschriften entstehen, kann ein Unternehmen den Aufwand für Unit-Tests schnell erhöhen, indem es vorübergehend zusätzliche Mitarbeiter einsetzt. Damit dieser Aufwand jedoch schnell skaliert werden kann, sollten die Verantwortlichen das Unit-Testing-Framework und den Prozess bereits im Laufe des Projekts verstehen und dokumentieren. Die gemeinsamen Merkmale eines skalierbaren Unit-Testing-Frameworks mit Blick auf die zukünftige Konformität sind:
- Qualifiziert für den beabsichtigten Einsatz für einen bestimmten Sicherheitsstandard (z.B. durch TÜV-Zertifikat)
- Integriert in ein automatisiertes Build-System
- Melden der erforderlichen Codeabdeckungsmetrik (z. B. MC/DC)
- Aufzeichnung der Ergebnisse und der Abdeckung der durchgeführten Tests pro Build und im Zeitverlauf
- Verkäuflich für mehrere Projekte und Teams
Die wichtigste Erkenntnis ist, dass alle Prüfverfahren, die eine künftige Sicherheitsnorm erfordert, in minimalem Umfang eingesetzt werden sollten. Es ist einfacher, diese zu erweitern, wenn ein Zertifizierungsbedarf entsteht, als bei Null anzufangen.
Isolieren Sie kritische Funktionen
Bei der Architektur von embedded Systemen gibt es viele „Funktionen" zu berücksichtigen: Einfachheit, Übertragbarkeit, Wartbarkeit, Skalierbarkeit und Zuverlässigkeit, während gleichzeitig Kompromisse zwischen Latenz, Durchsatz, Stromverbrauch und Größenbeschränkungen eingegangen werden müssen. Bei der Entwicklung eines Systems, das möglicherweise mit einem großen IoT-Ökosystem verbunden wird, räumen viele Teams der Sicherheit (Safety und Security) keine Priorität gegenüber einigen dieser anderen Qualitätsfaktoren ein.
Um die Einhaltung künftiger Sicherheitsvorschriften zu erleichtern (und gute Architekturpraktiken einzuhalten), lassen sich Komponenten zeitlich und räumlich trennen. Sie können beispielsweise ein System entwerfen, bei dem alle kritischen Operationen auf einer separaten dedizierten CPU ablaufen, während alle nicht kritischen Operationen auf einer anderen ausgeführt werden – und somit eine physische Trennung vornehmen. Eine andere Möglichkeit ist der Einsatz eines Separation Kernel Hypervisors und von Microkernel-Konzepten. Es gibt noch weitere Optionen, aber der Schlüssel liegt darin, so früh wie möglich die architektonischen Schlüsselansätze „Separation of Concerns“, „Defense in Depth“ und „Separation for Mixed Criticality“ anzuwenden. Diese senken nicht nur den Arbeitsaufwand für das Einhalten von Sicherheitsstandards, sondern verbessern auch die Qualität und Widerstandsfähigkeit der Anwendung. Hier sind einige Möglichkeiten, um kritischen Code zu isolieren:
- Space domain: Dateien / Module / Verzeichnisse / Bibliotheken
- Execution domain: Threads, RTOS-Tasks, Hypervisors / CPU-Cores, separate CPU
Die Trennung von kritischen und unkritischen Funktionen verringert den Umfang des künftigen Überprüfungsaufwands zum Nachweis der Konformität.
Fazit
Viele Edge-Geräte im IoT-Ökosystem bieten wichtige Leistungen an, die möglicherweise unter zukünftige Sicherheitsstandards fallen. Natürlich ist es keine kosteneffiziente Strategie, zu versuchen, die Anforderungen von Standards zu erfüllen, ohne zu wissen, ob dies notwendig ist oder nicht. Als Vorbereitung auf die Zukunft können Unternehmen wichtige Entwicklungstechniken, Unit-Testing-Ansätze und statische Analysetools übernehmen und Metriken zur Unterstützung künftiger Anforderungen sammeln. Softwareteams können diese Ansätze nahtlos in ihre bestehenden Prozesse übernehmen, sofern sie früh genug damit beginnen. Der Schlüssel ist: Frühzeitig mit dem richtigen Ansatz beginnen, der später skaliert werden kann, um zu verhindern, dass nach der Entwicklung, dem Testen und der Bereitstellung von Softwarecode ein fast herkulischer Aufwand betrieben werden muss, um die Konformität zu gewährleisten.
Dieser Artikel stammt von unserem Partnerportal ElektronikPraxis.
* Andrey Madan ist Senior Solution Architect bei Parasoft.
(ID:48403431)
:quality(80)/p7i.vogel.de/wcms/86/3f/863f993238132838435841998d912ff0/0111455179.jpeg "Der Autor: Falk Weinreich ist General Manager Central Europe von OVHcloud (Bild: ©OVHcloud )")
:quality(80)/p7i.vogel.de/wcms/c8/2f/c82fa774819bea526423ebac8b449ccf/0115071015.jpeg "Generative KI kann an verschiedenen Stellen im Development-Prozess helfen, Software effizienter zu programmieren und bereitszustellen. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")