Polyspace靜態(tài)程序代碼分析 高效遵循多重規(guī)范
當(dāng)軟件質(zhì)量目標(biāo)明確規(guī)定了分析指針、編程指南,以及運行時錯誤的接受標(biāo)準(zhǔn)和閾值,車用軟件系統(tǒng)透過這些標(biāo)準(zhǔn)會自動進行評估,軟件變更時執(zhí)行,就成為軟件開發(fā)流程中完整的一部分。如何降低程序代碼質(zhì)量評估的主觀性,并改善軟件開發(fā)周期的整體開發(fā)效率,就成為當(dāng)中要點。
車用軟件系統(tǒng)在現(xiàn)今車輛的安全性、可靠性及效率扮演著愈來愈重要的角色。因此,工程團隊專注于提供先進駕駛輔助系統(tǒng)(advanced driver assistance systems;ADAS)、電池管理系統(tǒng)、穩(wěn)定控制及其他類似的創(chuàng)新功能。通常,他們也需要透過證明符合ISO 26262/SAE 21434的規(guī)定,以確保滿足功能安全與網(wǎng)絡(luò)安全的要求。
全球頂級車輛供貨商Ficosa International正在開發(fā)使用在各式車輛應(yīng)用的軟件。作為確保產(chǎn)品符合產(chǎn)業(yè)標(biāo)準(zhǔn)的其中一部份流程,我們的工程團隊在從實現(xiàn)到單元驗證、整合及鑒定測試的完整開發(fā)周期,均使用Polyspace靜態(tài)程序代碼分析產(chǎn)品來衡量并改進程序代碼質(zhì)量。許多使用的流程都是基于一套明確定義的軟件質(zhì)量目標(biāo),由諸如所開發(fā)的組件的關(guān)鍵性和項目的成熟度等要素組織而成。
軟件質(zhì)量目標(biāo)明確規(guī)定了Polyspace靜態(tài)分析指針、MISRA和CERT/CWE等編程指南,以及運行時錯誤的接受標(biāo)準(zhǔn)和閾值?,F(xiàn)在這些標(biāo)準(zhǔn)會自動地進行評估,并且在每一次軟件變更時執(zhí)行,成為軟件開發(fā)流程中完整的一部分。因此,我們盡可能降低程序代碼質(zhì)量評估的主觀性,同時改善軟件開發(fā)周期的整體開發(fā)效率。
進行Polyspace使用評估
2010年,我們開始進行車輛通訊模塊項目。這項項目的其中一部分要求,客戶指定使用靜態(tài)分析來檢查是否符合MISRA C。經(jīng)過對市面上的靜態(tài)分析產(chǎn)品進行完整評估之后,我們根據(jù)產(chǎn)品的表現(xiàn)和成本,選擇了Polyspace。同時間,我們也致力于逐漸符合Automotive SPICE能力等級2(level 2),并且開始搭配使用Polyspace Bug Finder和Polyspace Code Prover靜態(tài)分析來支持軟件單元驗證活動。
很快地,我們的工程團隊開始進入ADAS的其他領(lǐng)域,而我們的客戶開始要求符合ASPICE level 3。與此同時,我們還開始幾項需要符合ISO 26262以被視為滿足功能安全要求的項目。不久之后,還有一些客戶開始要求符合CERT C和通用缺陷列表(Common Weakness Enumeration;CWE)的檢查,以確保滿足安全的程序代碼編寫標(biāo)準(zhǔn),在這個案例是需要尋求符合ISO 21434。
使用Polyspace軟件進行靜態(tài)分析幫助我們支持這其中每一項行動。然而,從企業(yè)組織的角度來看,缺少了開發(fā)及驗證活動的全面性計劃,計劃里面應(yīng)該要清楚定義會在何時,以及采用哪些技術(shù)、衡量方式及閾值來確保軟件質(zhì)量。
正式架構(gòu)尚未就位的其中一個缺點,是研發(fā)團隊會傾向等到項目更后面的階段才執(zhí)行靜態(tài)分析,而不是從項目一開始就系統(tǒng)化地執(zhí)行??梢粤舷耄@些在開發(fā)后期進行靜態(tài)分析結(jié)果出現(xiàn)了許多違規(guī)行為,其中包含許多違反MISRA C的違規(guī)行為。由于這些問題是在項目后期才被發(fā)現(xiàn),很難透過問題解決或論證來彌補。
為了處理這類挑戰(zhàn),我們透徹分析Ficosa International該如何優(yōu)化的符合軟件質(zhì)量目標(biāo),以及我們的客戶跨越多種領(lǐng)域,在可靠性、功能安全和安全防護等方面的目標(biāo)。這項分析的終端產(chǎn)品是一份軟件質(zhì)量目標(biāo)文件,這份文件現(xiàn)在被我們的團隊視為確保交付的軟件系統(tǒng)質(zhì)量的基礎(chǔ)。
定義軟件質(zhì)量目標(biāo)
在Ficosa International的軟件質(zhì)量目標(biāo)文件中,我們定義了在驗證所開發(fā)的軟件時所有生效的指針和規(guī)則,包含以MISRA C、CERT C及CWE為基礎(chǔ)的指針和規(guī)則,還有諸如循環(huán)復(fù)雜度及批注密度等軟件指針。
下一步,我們依據(jù)待驗證的程序代碼的源頭、開發(fā)中的組件類型以及其成熟度來定義指針和規(guī)則的采用標(biāo)準(zhǔn)。舉例來說,為第三方程式碼、既有程序代碼(legacy code)、自動產(chǎn)生的程序代碼,以及人工編寫的程序代碼定義了不同的目標(biāo)(圖1)。
圖1 : 依據(jù)軟件組件類型和項目成熟度而定義的Ficosa International軟件質(zhì)量目標(biāo)
對于第三方程式碼,僅執(zhí)行強制性的MISRA C規(guī)則,并且假定這類程序代碼附有其他相配的質(zhì)量證明。對于既有程序代碼、自動產(chǎn)生的程序代碼和人工編寫的程序代碼,我們采用愈來愈嚴(yán)格的規(guī)則。涉及功能安全或安全防護的組件還會進行額外的檢查,以符合ISO 26262的汽車安全完整性等級(Automotive Safety Integrity Level;ASIL)要求和ISO/SAE 21434的網(wǎng)絡(luò)安全保證等級(cybersecurity assurance level;CAL)要求。
此外,隨著組件從早期開發(fā)(A sample)進展到中期、倒數(shù)第二個階段、最終交付(B、C、D samples),我們還會為項目定義更為嚴(yán)格的目標(biāo)。最終,會有一個整合程序代碼的獨立、經(jīng)過縮減的規(guī)則與指針子集—亦即一組組件之中的每一個組件均通過各自的軟件質(zhì)量目標(biāo)評估,而且現(xiàn)在被整合在一起,成為更大系統(tǒng)的一部分。這對于簡化復(fù)雜軟件的靜態(tài)分析非常有用。
將靜態(tài)分析整合至開發(fā)工作流程
當(dāng)有了明確定義軟件質(zhì)量目標(biāo)的文件,我們便開始使用Polysapce靜態(tài)分析產(chǎn)品,將這些文件整合至開發(fā)及測試流程(圖2)。
圖2 : 對于程序代碼實現(xiàn)和驗證的流程,可看見靜態(tài)分析和后續(xù)修正的整合。
這套流程其中的一項關(guān)鍵步驟,在于納入針對開發(fā)人員向我們的版本控制系統(tǒng)Git發(fā)送收取要求時的規(guī)定。對于需要核準(zhǔn)的收取要求,它除了要有單元測試結(jié)果之外,還必須成功通過Polyspace Bug Finder和Polyspace Code Prover的特定靜態(tài)分析檢查。單是這項改變就為我們整體工作流程帶來重大改善,因為它建立了一個閘門機制,確保開發(fā)人員只有在他們的程序代碼完整通過合適的軟件質(zhì)量目標(biāo),并且解決或證明在靜態(tài)分析找到的任何問題時,才能夠成功完成收取要求。
在軟件整合及測試期間,Polyspace產(chǎn)品被使用來執(zhí)行以整合程序代碼的軟件質(zhì)量目標(biāo)為基礎(chǔ)的靜態(tài)分析。在此階段, MISRA C的相符及程序代碼指針的檢查僅限于系統(tǒng)層級規(guī)則和整合軟件指針。有個重點是整合層級的問題,像是共享內(nèi)存的協(xié)作存取、無作用程序代碼、重大運行時錯誤等。
隨著采用Jenkins進行持續(xù)整合持續(xù)部署(continuous integration and continuous delivery,CI/CD)的情況愈來愈多,Polyspace產(chǎn)品支持頻繁的靜態(tài)分析及持續(xù)的反饋,確保開發(fā)人員及整合人員能夠維持源代碼與設(shè)定的質(zhì)量目標(biāo)的一致性。除此之外,透過Polyspace Access網(wǎng)絡(luò)接口,我們所有的團隊都可以存取一個中央數(shù)據(jù)庫,查看靜態(tài)程序代碼分析結(jié)果并且監(jiān)控交付質(zhì)量目標(biāo)等級的進展。
在開發(fā)功能安全產(chǎn)品的時候,有另一個重要的考慮點是要確保軟件工具不會造成、或者沒有發(fā)現(xiàn)在軟件量產(chǎn)階段的錯誤。ISO 26262明確要求軟件工具的認(rèn)可流程,依據(jù)軟件的關(guān)鍵性進行分類,并且執(zhí)行必要的活動來審核。針對Polyspace產(chǎn)品,MathWorks提供支持Bug Finder和Code Prover在項目范疇的認(rèn)證套件。
關(guān)鍵優(yōu)勢
透過Polyspace產(chǎn)品來運用良好定義的軟件質(zhì)量目標(biāo),為Ficosa International須遵循ISO 26262與ISO/SAE 21434標(biāo)準(zhǔn)的車用軟件開發(fā)和交付,帶來幾項重要的優(yōu)勢。
優(yōu)勢之一是穩(wěn)定地提升開發(fā)人員之間的開發(fā)技能。進一步來說,他們從Polyspace產(chǎn)品接收到的快速響應(yīng),幫助他們了解其程序代碼質(zhì)量哪里需要修改及如何修改,而且因此可以幫助他們成為技術(shù)更佳、更有生產(chǎn)力的開發(fā)人員。事實上,透過我們建置的流程,他們必須要了解并解決通過靜態(tài)分析偵測到的問題—沒有其他的選項。
我們還發(fā)現(xiàn)另一個重要的好處是得以簡化ASPICE和ISO 26262外部質(zhì)量評估,或者其他客戶要求須要遵循的目標(biāo)。今天,我們做的每一件事都更易于論證,因為我們有清楚的軟件質(zhì)量目標(biāo),并且附有報告呈現(xiàn),舉例來說,MISRA與CERT變異數(shù)量遠比以往更少,還有證據(jù)顯示我們的程序代碼通過了目標(biāo)質(zhì)量標(biāo)準(zhǔn)。
也許更為重要的是,Polyspace產(chǎn)品幫助我們達成質(zhì)量目標(biāo),同時間增加效率,或者至少維持了同樣的效率。通常,在管理團隊或類似的團體調(diào)整組織的開發(fā)工作流程來制定執(zhí)行的早期驗證步驟型態(tài)時,開發(fā)人員會將所需要完成的額外步驟視為另外的工作。有了Polyspace產(chǎn)品,我們便能夠向團隊證明,這些為了每一次的收取要求而執(zhí)行的靜態(tài)分析所產(chǎn)生的額外步驟,實際上讓效率提升了。他們可以更有效率、更具信心地交付高質(zhì)量的程序代碼,因為所有透過靜態(tài)分析找到的錯誤都在較早的階段就已經(jīng)被消滅,而不會留存到最終階段。
(本文由鈦思科技提供;作者David Tuset、Roger Marsal、Yolanda Guasch任職于Ficosa International公司)
評論