AbsInt — 確保程式碼安全的靜態效能分析工具

       德國AbsInt公司是專注於安全苛求軟體研發、確認、驗證和認證的工具鏈供應商。能夠為客戶提供較完整的確保程式碼安全的效能分析工具套件以及軟體分析、驗證、確認和編譯器技術相關諮詢服務。AbsInt產品廣泛地應用於工業、交通、汽車、通訊和能源等行業的安全苛求軟體研發過程中。

 

產品介紹

       AbsInt 程式碼安全效能分析套件主要包括以下幾種產品：

• aiT WCET Analyzer/ 最差情況執行時間分析工具 
• StackAnalyzer / 最差情況堆疊使用量分析工具 
• TimingProfiler/ 程式碼執行時間分析工具 
• Astrée /C 程式碼執行時錯誤和資料競爭檢查工具 
• RuleChecker/C 程式碼規則檢查工具 
• CompCert/ 形式化方法驗證的最佳化 C 語言編譯器

 

 - 二進位制程式碼分析工具

• aiT

       針對特定的處理器和編譯器，能夠分析出較接近實際執行情況的最差執行時間，真實反映系統效能。在分析過程中充分考慮了快取記憶體和流水線（pipeline）的影響，從而避免了過於保守的WCET值，亦避免了硬體資源的浪費。

 

• StackAnalyzer

       針對特定的處理器族和編譯器，能夠自動分析出任務的最差堆疊使用量，即避免了人為低估造成的堆疊溢位，又避免了人為高估而造成的資源浪費。

 

• TimingProfiler

       針對特定的處理器族和編譯器，能夠從初期開始對程式碼執行時間進行持續分析和評估。

• 特點

-程式碼靜態分析工具，可直接匯入編譯後的 .elf/*.out 等二進位制可執行檔案進行自動分析，不會對現有的工具鏈造成影響

-圖形化顯示程式的呼叫和控制流及不同程式點的機器狀態，為最佳化提供依據

-遍歷所有程式執行路徑，對所有場景有效，無需提供測試用例

-支援批次測試，支援Jenkins，可實現軟體持續整合測試

-aiT 和 StackAnalyzer 有認證支援包，能夠提供認證支援服務（ ISO-26262, IEC-61508, EN-50128 等）

 

 - C 程式碼分析工具

• Astrée

-Astrée 能夠確保找出所有的程式碼執行時錯誤 (run-time error) 和資料競爭 (data race) 問題，控制流和資料流達到全部的覆蓋度

-Astrée 分析方法，確保較低的誤報率

-Astrée 在分析過程中能夠考慮 OSEK\AUTOSAR 等 OS 配置環境的影響，提高分析結果精確度

-Astrée 的分析結果支援互動式瀏覽，能夠幫助使用者迅速定位問題，並進行備註及修改

-Astrée 可與 dSPACE TargetLink 實現無縫整合

-Astrée有認證支援包，能夠提供認證支援服務（ISO-26262, IEC-61508, EN-50128 等）

 

• RuleChecker

RuleChecker 是 C 程式碼規則檢查工具，支援以下程式碼規則標準：

-MISRA 2004、2012、2012 Amendment 1

-ISO/IEC TS 17961:2013

-SEI CERT Secure C

-MITRE CWE

-客戶訂製標準

 

應用 & 案例

• 豐田汽車非預期加速事件調查 ，2010 年 aiT 被 NASA 作為工業標準靜態分析工具用於豐田汽車公司非預期加速事件調查，以排除與時間相關的軟體缺陷 
• Daimler 在動力總成控制系統等多個軟體研發專案中，成功運用 StackAnalyzer工具進行相關分析，在研發前期即對軟體的堆疊使用量情況進行有效分析和預估，避免了堆疊溢位等問題造成的專案延期和成本損失