BUGINJECTOR DE GRAMMATECH
ISIT
COMMUNIQUÉ de PRESSE
BUGINJECTOR DE GRAMMATECH AJOUTE DES BENCHMARKS REELS A SWAMP
Toulouse, le 14/02/2019 : Les responsables de développement logiciel et de la qualité qui souhaitent mesurer les avantages de l’analyse statique disposent désormais d’une plateforme leur permettant de le faire.
GrammaTech, sous contrat avec la Direction de la Science et de la Technologie (S&T) du Département de la Sécurité Intérieure (DHS), a créé des benchmarks indépendants qui sont maintenant disponibles sur la plateforme SWAMP (Software Assurance MarketPlace).
Il existe déjà plusieurs benchmarks pouvant être utilisés pour mesurer la performance des outils d’analyse statique dans la détection d’erreurs. Cependant, beaucoup d'entre eux ont des limites, les chemins des codes étant généralement trop simples. Mandaté par le DHS S&T, GrammaTech a créé BugInjector, un outil capable d’injecter des modèles d’erreurs basés sur les « Common Weakness Enumaration » (CWE) dans des codes existants, fournissant ainsi des points de comparaison réels.
L’outil BugInjector est disponible directement auprès de GrammaTech pour réaliser ses propres tests sur du code utilisateur, notamment à des fins de formation. De plus, quatre codes de benchmark (nginx, grep, sqlite, lighttpd) ont été « infectés » via BugInjector et sont disponibles sur la plateforme SWAMP, permettant aux utilisateurs d’évaluer facilement la capacité de leurs outils d’analyse statique à détecter ce type d’erreurs dans du code réel et des chemins réalistes.
« Il existe un besoin urgent d’avoir des benchmarks tels que ceux de GrammaTech, pour permettre aux développeurs de logiciels d’évaluer les outils d’analyse statique dans un contexte global et réel », déclare Barton Miller, professeur d’informatique à l’Université du Wisconsin - Madison et directeur Scientifique du SWAMP. « En outre, les développeurs d’outils d’analyse statique ont désormais la possibilité d’améliorer leurs outils ou de comparer les nouvelles technologies d’analyse statique avec des scénarios de test réalistes. L'intégration de ces références dans la plate-forme SWAMP augmente leur efficacité et leur disponibilité. »
«GrammaTech CodeSonar® s'est toujours concentré sur le Recall (Capacité à détecter les vraies erreurs)», déclare Paul Anderson, vice-président de l'ingénierie chez GrammaTech, Inc. « De nombreux outils prétendent pouvoir détecter une erreur CWE particulière, mais il n'y a jamais eu de moyen de mesurer leur efficacité si ce CWE est caché au fond d'un chemin complexe du code. BugInjector fournit un moyen automatisé de mesurer objectivement le Recall d’un outil d'analyse statique. De plus, désormais toute personne intéressée peut facilement évaluer et comparer le taux de Recall de CodeSonar® par rapport à d’autres outils. »
Les fonctionnalités d’analyse statique de la plateforme SWAMP peuvent être utilisées gratuitement soit en mode cloud soit sur site. Il suffit de s'inscrire pour utiliser le SWAMP sur le site mir-swamp.org et rechercher ensuite les scénarios de test de BugInjector dans la section Components/Packages de la page Ressources. Après avoir sélectionné un package et une version contenant un fichier CWE d'intérêt, les utilisateurs peuvent effectuer l’analyse du code «contaminé» par BugInjector à l'aide d'un ou plusieurs outils d'analyse pour les comparer. GrammaTech CodeSonar® est l’un des outils commerciaux intégrés à SWAMP, aux côtés de nombreux autres outils d’analyse statique open source. Les utilisateurs peuvent également télécharger des cas de tests BugInjector pour les exécuter avec les outils qu’ils développent.
À propos de GrammaTech:
Les outils d’analyse statique avancés de GrammaTech sont utilisés par les développeurs de logiciels critiques du monde entier et couvrent une multitude d’industries, notamment l’avionique, les applications gouvernementales, médicales, militaires, de contrôle industriel et autres applications où la fiabilité et la sécurité sont primordiales. Développé à l'origine au sein de l'Université Cornell, GrammaTech est désormais un centre de recherche de premier plan en matière de sécurité logicielle et un fournisseur commercial d'outils de garantie logicielle et de solutions de cybersécurité avancées. Avec des outils d’analyse statiques et dynamiques qui analysent le code source ainsi que les exécutables binaires, GrammaTech continue de faire progresser la science de l’analyse logicielle supérieure, offrant aux développeurs une technologie qui leur permet de produire des logiciels plus sûrs. Pour plus d'informations, visitez www.grammatech.com ou suivez-nous sur LinkedIn.
A propos, d’ISIT : Au cœur du Temps Réel Embarqué
Contact Produit :
Fréderic MARAVAL – Responsable Produits Systèmes embarqués et Qualité logicielle – fmaraval@isit.fr
GrammaTech, sous contrat avec la Direction de la Science et de la Technologie (S&T) du Département de la Sécurité Intérieure (DHS), a créé des benchmarks indépendants qui sont maintenant disponibles sur la plateforme SWAMP (Software Assurance MarketPlace).
Il existe déjà plusieurs benchmarks pouvant être utilisés pour mesurer la performance des outils d’analyse statique dans la détection d’erreurs. Cependant, beaucoup d'entre eux ont des limites, les chemins des codes étant généralement trop simples. Mandaté par le DHS S&T, GrammaTech a créé BugInjector, un outil capable d’injecter des modèles d’erreurs basés sur les « Common Weakness Enumaration » (CWE) dans des codes existants, fournissant ainsi des points de comparaison réels.
L’outil BugInjector est disponible directement auprès de GrammaTech pour réaliser ses propres tests sur du code utilisateur, notamment à des fins de formation. De plus, quatre codes de benchmark (nginx, grep, sqlite, lighttpd) ont été « infectés » via BugInjector et sont disponibles sur la plateforme SWAMP, permettant aux utilisateurs d’évaluer facilement la capacité de leurs outils d’analyse statique à détecter ce type d’erreurs dans du code réel et des chemins réalistes.
« Il existe un besoin urgent d’avoir des benchmarks tels que ceux de GrammaTech, pour permettre aux développeurs de logiciels d’évaluer les outils d’analyse statique dans un contexte global et réel », déclare Barton Miller, professeur d’informatique à l’Université du Wisconsin - Madison et directeur Scientifique du SWAMP. « En outre, les développeurs d’outils d’analyse statique ont désormais la possibilité d’améliorer leurs outils ou de comparer les nouvelles technologies d’analyse statique avec des scénarios de test réalistes. L'intégration de ces références dans la plate-forme SWAMP augmente leur efficacité et leur disponibilité. »
«GrammaTech CodeSonar® s'est toujours concentré sur le Recall (Capacité à détecter les vraies erreurs)», déclare Paul Anderson, vice-président de l'ingénierie chez GrammaTech, Inc. « De nombreux outils prétendent pouvoir détecter une erreur CWE particulière, mais il n'y a jamais eu de moyen de mesurer leur efficacité si ce CWE est caché au fond d'un chemin complexe du code. BugInjector fournit un moyen automatisé de mesurer objectivement le Recall d’un outil d'analyse statique. De plus, désormais toute personne intéressée peut facilement évaluer et comparer le taux de Recall de CodeSonar® par rapport à d’autres outils. »
Les fonctionnalités d’analyse statique de la plateforme SWAMP peuvent être utilisées gratuitement soit en mode cloud soit sur site. Il suffit de s'inscrire pour utiliser le SWAMP sur le site mir-swamp.org et rechercher ensuite les scénarios de test de BugInjector dans la section Components/Packages de la page Ressources. Après avoir sélectionné un package et une version contenant un fichier CWE d'intérêt, les utilisateurs peuvent effectuer l’analyse du code «contaminé» par BugInjector à l'aide d'un ou plusieurs outils d'analyse pour les comparer. GrammaTech CodeSonar® est l’un des outils commerciaux intégrés à SWAMP, aux côtés de nombreux autres outils d’analyse statique open source. Les utilisateurs peuvent également télécharger des cas de tests BugInjector pour les exécuter avec les outils qu’ils développent.
À propos de GrammaTech:
Les outils d’analyse statique avancés de GrammaTech sont utilisés par les développeurs de logiciels critiques du monde entier et couvrent une multitude d’industries, notamment l’avionique, les applications gouvernementales, médicales, militaires, de contrôle industriel et autres applications où la fiabilité et la sécurité sont primordiales. Développé à l'origine au sein de l'Université Cornell, GrammaTech est désormais un centre de recherche de premier plan en matière de sécurité logicielle et un fournisseur commercial d'outils de garantie logicielle et de solutions de cybersécurité avancées. Avec des outils d’analyse statiques et dynamiques qui analysent le code source ainsi que les exécutables binaires, GrammaTech continue de faire progresser la science de l’analyse logicielle supérieure, offrant aux développeurs une technologie qui leur permet de produire des logiciels plus sûrs. Pour plus d'informations, visitez www.grammatech.com ou suivez-nous sur LinkedIn.
A propos, d’ISIT : Au cœur du Temps Réel Embarqué
Contact Produit :
Fréderic MARAVAL – Responsable Produits Systèmes embarqués et Qualité logicielle – fmaraval@isit.fr