AdaCore, Anbieter von Softwareentwicklungs- und Verifikationswerkzeugen für vertrauenswürdige und sicherheitskritische Systeme, hat mit GNAT Pro Assurance 22 einen neuen Service eingeführt. Das neue Feature unterstützt Nutzer bei ihrer Strategie im Umgang mit Schwachstellen, die durch die Nutzung von Drittanbieter-Software entstehen. Mit der neuesten Version des Tools können sie eine detaillierte Liste bekannter Schwachstellen anfordern, die jeweils mit der Common-Vulnerability-Enumeration-(CVE)-Datenbank der MITRE Corporation verknüpft sind.
Der neue Service in GNAT Pro Assurance 22 liefert die Schwachstellenberichte sowohl im maschinenlesbarem CVE-JSON-Format als auch in PDF-Berichten für die Nutzer selbst. Zusätzlich erstellt AdaCore nun auch Software Bills of Materials (SBOM). Sogenannte SBOMs liefert das Unternehmen im Standardformat SPDX (Software Package Data Exchange), das eine automatische Einbindung in die Schwachstellenmanagement- und Reporting-Systeme der Nutzer ermöglicht.
„Mit dem Sustained-Branch-Service von GNAT Pro Assurance können Nutzer eine bestimmte Version der Lösung zur Verwendung festlegen und erhalten nur dann Updates, wenn diese zur Behebung eines kritischen Problems unbedingt nötig sind.“
GNAT Pro Assurance ist das führende Produkt der GNAT-Pro-Produktlinie und bietet für die Programmiersprache Ada eine Komplettlösung: Neben einem umfassenden Set von Entwicklungs- und Verifikationstools enthält die Suite eine konfigurierbare Laufzeitbibliothek und mehrere spezialisierte Small-Footprint-Runtimes. GNAT Pro Assurance richtet sich an Entwickler von sicherheitskritischen Anwendungen, die langfristiger Wartung bedürfen. Dazu zählen auch Projekte, die domänenspezifische Software-Assurance-Standards erfüllen müssen. Im Hinblick auf Sicherheitszertifizierung sind das etwa die Standards DO-178C (Software für Luftverkehr), EN 50128 (Schienenverkehr), ECSS-E-ST-40C und ECSS-Q-ST-80C (Raumfahrt) sowie ISO 26262 (Automobil- und Industriesysteme). Sicherheitstechnisch sind auch die Standards DO-326A/ED-202A und DO-356A/ED-203A (Lufttüchtigkeit) relevant. Für jede dieser Normen sind Zertifizierungs- und/oder Qualifizierungsunterlagen für bestimmte Laufzeitbibliotheken und/oder Tools über einen optionalen Zertifizierungs-Support-Service für die Nutzer von GNAT Pro Assurance verfügbar.
Einzigartig in GNAT Pro Assurance ist darüber hinaus der Sustained-Branch-Service. Über ihn können Nutzer eine bestimmte Version der Lösung auswählen und erhalten exakt für diese Version Workarounds oder Updates, um kritische Probleme zu beheben. Dieses Feature garantiert Produktstabilität und eine kontrollierte Weiterentwicklung, um Probleme zu beheben, für die es keine passablen Workarounds gibt.
„Die Herausforderung bei der Softwaresicherheit besteht darin, dass Schwachstellen in der Regel erst nach dem Deployment eines Systems entdeckt werden. Hinzu kommt, dass Systeme meist vielschichtig sind und aus voneinander abhängigen Komponenten verschiedener Anbieter bestehen“, erklärt Alexander Senier, Lead of Cybersecurity bei Adacore. „Eine Schwachstelle, die ein Hersteller behebt, kann eine teure Korrektur in einer anderen Komponente erfordern. Führt der andere Anbieter diese aber nicht durch, kann das gesamte System unsicher sein. Mit GNAT Pro Assurance geraten unsere Kunden gar nicht erst in eine solche Situation. Wir stellen ihnen Sustained Branches zur Verfügung und führen automatische Analysen bekannter Schwachstellen dieser Branches durch, deren Ergebnisse wir an die Nutzer weitergeben. Zudem analysieren wir, ob Sicherheitsprobleme aus aktuellen GNAT-Pro-Versionen auch in Sustained Branches existieren und portieren Sicherheitsfixes bei Bedarf auf diese älteren Versionen. Die Systeme der Nutzer bleiben somit sicher – während der gesamten Laufzeit ihrer Projekte.“
Jamie Ayre, Commercial Director bei AdaCore, ergänzt: „Ada ist die Sprache der Wahl für Entwickler langlebiger und hoch zuverlässiger Software. Der Sustained-Branch-Service für GNAT Pro Assurance erfüllt zudem die Anforderungen an die Produktstabilität als auch für das Beheben kritischer Fehler. Der Wechsel zu einer neuen Produktversion kann Probleme beheben, aber eben auch neue Fehler hervorrufen oder gar zu Regressionen führen. Mit dem Sustained-Branch-Service von GNAT Pro Assurance können Nutzer eine bestimmte Version der Lösung zur Verwendung festlegen und erhalten nur dann Updates, wenn diese zur Behebung eines kritischen Problems unbedingt nötig sind.“
Weitere Informationen zu AdaCore GNAT Pro Assurance sind auf der Produkt-Webseite verfügbar.