De nouvelles fonctionnalités axées sur la sécurité, notamment une analyse étendue des failles et des cartes de vulnérabilité, vont aider les développeurs de logiciels embarqués à résoudre les problèmes critiques plus tôt dans le cycle de vie d’une application. Telles sont les évolutions principales de la suite d’outils de vérification automatisés et de conformité aux normes du britannique LDRA (distribué en France par ISIT), présentée lors du salon Embedded World 2024.

Ces fonctionnalités liées à la sécurité se décomposent en quatre volets : rapports de vulnérabilités de sécurité, audits de sécurité, examens de sécurité et analyse des contaminations. Chacune de ces fonctionnalités a pour objectif d’approfondir l’identification et la correction des vulnérabilités de sécurité critiques qui ont un impact sur les applications logicielles embarquées complexes et connectées.

Selon LDRA, contrairement à d'autres outils de vérification logicielle, de traçabilité et de conformité aux normes, cette suite d'outils simplifie les résultats d'analyse à l'aide de techniques d'expérience utilisateur qui aident les développeurs à comprendre les résultats et à les intégrer dans leurs processus DevSecOps (*)

« Les vulnérabilités de sécurité des systèmes critiques n'attendent que d'être exploitées, mais LDRA peut aider les développeurs à les identifier et à y remédier avant leur publication, précise Ian Hennell, directeur des opérations de LDRA. Ces dernières fonctionnalités éliminent une grande partie du bruit et de la complexité des outils d'analyse traditionnels pour donner aux développeurs des résultats clairs et compréhensibles. Passer moins de temps sur la “paralysie de l’analyse” permet aux équipes de se concentrer sur une correction précoce des vulnérabilités et une conformité plus rapide aux normes. »

Il s’agit à travers cette évolution de comprendre et de hiérarchiser les résultats d'analyse, et donc d’améliorer l'efficacité de cette tâche notamment pour les équipes qui travaillent sur des systèmes critiques dans les domaines de l'aérospatial, de la défense, de l'automobile, des contrôles industriels et des dispositifs médicaux.

En d’autres termes il s’agit d’améliorer la confiance dans l'analyse des vulnérabilités des logiciels embarqués critiques et de réduire les temps de remédiation grâce aux rapports de sécurité et aux audits qui identifient les vulnérabilités du code. Il est aussi désormais possible d'avoir une visibilité approfondie de ces vulnérabilités au niveau de chaque composant logiciel et de leur impact sur l'allocation mémoire et enfin de consacrer moins de temps à la conformité avec les examens de sécurité automatisés CWE, Misra et Cert-C.

Parallèlement, LDRA lance LDRAvault, un outil destiné à simplifier les activités et les artefacts de vérification des logiciels à l'échelle de l'entreprise en vue d’accélérer les opérations de certification. L'application regroupe, gère et génère des visualisations d'informations sur la qualité des logiciels et les artefacts de certification provenant de plusieurs projets et membres de l'équipe, améliorant de fait la gestion des efforts de certification en regroupant automatiquement les rapports et les résultats de la suite d'outils LDRA au sein d'une équipe de projet de certification. Et ce tout au long du cycle de vie du projet, y compris les révisions de code, l'analyse de couverture de code et les tests unitaires. LDRAvault génère des visualisations des résultats et des tendances de vérification et conserve automatiquement des instantanés de projet et des jalons définis par l'utilisateur.

Enfin, en vue d’optimiser les flux de travail afin de garantir la conformité aux normes de sûreté fonctionnelle et de sécurité, LDRA propose aux développeurs des packages de productivité. Ces derniers ont pour ambition d’annuler la complexité liée à l'exécution de différentes solutions de traçabilité, d'analyse logicielle et de reporting de conformité pour la remplacer par un flux de travail unique et rationalisé vis-à-vis des normes de sûreté et de sécurité fonctionnelle.

Ces packages de productivité procurent aux développeurs des fonctionnalités allant de l'analyse statique et dynamique aux tests unitaires et d'intégration jusqu'aux rapports de conformité complets pour les normes industrielles et les niveaux d'assurance spécifiques. Ils incluent également des fonctionnalités telles que la conformité aux normes de codage, les évaluations de sécurité, la génération automatique de scénarios de test, l'exécution, la génération d'artefacts et les rapports de conformité.

(*) La méthodologie DevSecOps (Development - Security - Operations) est une approche de développement qui consiste à intégrer la notion de sécurité tout au long du cycle de vie du logiciel, depuis la phase de conception jusqu’au déploiement en passant par les étapes d’intégration et de test, et ce de manière automatisée.