Calificación de una herramienta de prueba de software con el certificado TÜV

Por Miroslaw Zielinski

Marzo 24, 2020

4  min leer

¿Qué es la cualificación de herramientas y por qué es importante en las pruebas de software? Consulte esta publicación para obtener información sobre la calificación de herramientas y cómo la edición de cumplimiento de pruebas de Parasoft C/C++ funciona como una herramienta certificada para realizar pruebas, a diferencia de otros competidores.

Estándares de desarrollo de software críticos para la seguridad, como ISO 26262 (automotor), DO-178B / C (aeroespacial), IEC 62304 (dispositivos médicos), ES 50128 (ferrocarril), y IEC 61508 (seguridad funcional del sistema EE), requieren que los fabricantes demuestren que las herramientas que utilizan para desarrollar su software proporcionan resultados correctos y predecibles.

Calificación de la herramienta: ¿Qué es y por qué la necesito?

El proceso de proporcionar dicha evidencia se conoce como Calificación de herramienta o Validación de herramienta. Puede ser un proceso que requiere mucho tiempo y, por supuesto, agrega tiempo y esfuerzo a los equipos que deben concentrarse en desarrollar y probar el software para el proyecto. Si bien los usuarios son en última instancia responsables del proceso de calificación de la herramienta, utilizan proveedores de herramientas como Parasoft para respaldar estos esfuerzos. Los proveedores de herramientas pueden aliviar la carga de los usuarios finales certificando sus productos y proporcionando kits de calificación.

¿Necesito calificar todas mis herramientas?

No existe un enfoque único para la calificación o certificación de herramientas en todos los estándares y no todas las herramientas requieren calificación. Por lo tanto, los estándares definen un proceso de “clasificación”, otorgando diferentes niveles de importancia a la calificación de la herramienta y definiendo diferentes métodos para ganar confianza en las herramientas utilizadas, lo que ayuda a determinar si una calificación es necesaria para la herramienta específica.

Dicho esto, como regla general, si se usa una herramienta para automatizar el proceso de verificación o produce la salida que se usa como parte de un sistema crítico, como el código fuente generado a partir del modelo, entonces se requiere la calificación de la herramienta.

¿Puedo usar el certificado TÜV para calificar herramientas?

La respuesta corta es que depende del estándar.

  • DO178B / C es bastante estricto en este aspecto y no permite el uso de certificados para aprobar el uso de la herramienta. La calificación debe realizarse en el contexto de un proyecto específico (ver DO178C Capítulo 12.2). Normalmente, el proceso implica validar esa herramienta frente a sus requisitos con un conjunto especial de casos de prueba. Los proveedores de herramientas apoyan este proceso ofreciendo kits de calificación. También se proporciona un kit de calificación para la prueba Parasoft C / C ++.
  • IEC 62304 no enumera ningún requisito específico para la validación o calificación de la herramienta, pero redirige a 61508 para el caso.
  • IEC 61508 y especialmente ISO 26262 son más precisas que IEC 62304 en su enfoque de la calificación de herramientas de software. Por ejemplo, ISO26262 enumera cuatro métodos para calificar la herramienta (Parte 8, 11.4.6). Da una opción para aprobar la herramienta. para el desarrollo crítico para la seguridad mediante evaluación independiente y certificación del proceso de desarrollo de herramientas

En resumen, la práctica en la industria es que para ISO26262, IEC 61508 e IEC 62304 los equipos pueden usar herramientas que están certificadas por una organización independiente (como TÜV SÜD) sin otras actividades de calificación. Para DO178B / C, no se aceptan certificados y los equipos deben pasar por el proceso de calificación.

¿Qué es el proceso de certificación de herramientas?

Los proveedores de herramientas contratan una organización independiente (como TÜV SÜD) especializada en seguridad funcional para evaluar el proceso de desarrollo de herramientas de software. La evaluación incluye una valoración de los casos de uso previstos y una revisión con un enfoque especial en la garantía de calidad del software, el ciclo de vida de defectos conocidos y la gestión de versiones.

Si los procesos cumplen con los estándares y garantizan la calidad de la herramienta, la organización obtiene la certificación de la herramienta. Se otorga la certificación para el lanzamiento específico de la herramienta; no es posible certificar lanzamientos "futuros".

Luego, el certificado se ofrece junto con la herramienta para simplificar el proceso de aprobación para el desarrollo crítico para la seguridad. Para todos los estándares de seguridad que lo permiten, esta es la forma preferida de calificación de la herramienta, ya que reduce el esfuerzo para el usuario de la herramienta.

¿Parasoft ofrece herramientas certificadas?

Parasoft C / C ++test Las ediciones de cumplimiento han sido certificadas por TÜV SÜD para su uso en el desarrollo de software crítico para la seguridad de acuerdo con:

  • IEC 61508-3: 2010
  • IEC 62304: 2015
  • ISO-262626 8: 2018

TÜV SÜD es una organización orientada a brindar auditorías y certificaciones de seguridad y protección. Es una organización ampliamente reconocida y respetada. A diferencia de algunos competidores, Parasoft certifica cada lanzamiento de su producto para que pueda aprovechar las innovaciones más recientes y no se limite a una versión especial de soporte a largo plazo.

Para más información sobre TÜV SÜD, por favor, siga https://www.tuvsud.com/

¿La certificación TÜV es válida para todos los niveles ASIL o SIL?

La certificación TÜV se puede utilizar para aprobar y calificar la prueba Parasoft C / C ++ para desarrollar software para todos los niveles ASIL o SIL. Los equipos que desarrollan software para ASIL D o SIL 4 aún pueden considerar aprobar la herramienta con el kit de calificación. Sin embargo, en general, la práctica en la industria es que la certificación es suficiente.

¿Qué es el certificado TÜV y qué hago con él?

La TÜV La certificación es un documento pdf que forma parte del "Paquete de distribución de seguridad funcional de la prueba C / C ++" y está disponible para los clientes que utilizan una versión de cumplimiento de la prueba Parasoft C / C ++. El paquete contiene los siguientes documentos:

Z10 075084 0005 Rev.02.pdf - El certificado principal. Incluye la información sobre la versión de la herramienta que fue certificada y la lista de estándares de seguridad funcional para los que la certificación es válida. La certificación debe incluirse en la documentación del proyecto que se envía para la auditoría de seguridad funcional.

Prueba de C ++ - Consideraciones de seguridad funcional.pdf - Manual de seguridad de herramientas. Contiene información importante sobre cómo utilizar la herramienta de forma segura. Este documento debe distribuirse a todos los usuarios de la herramienta. Define qué funciones se han certificado y cómo configurar la herramienta para detectar posibles errores.

Prueba de C ++ - Defectos conocidoss.pdf - Lista de todos los defectos conocidos en la herramienta que pueden afectar el rendimiento de la herramienta. Los usuarios finales de la herramienta deben revisar este documento y aplicar soluciones para todos los problemas que afectan los casos de uso relevantes de la herramienta en un proyecto específico.

PK83996C V6.4.pdf Informe al Certificado. Establece el alcance de las pruebas y los requisitos de clasificación y calificación de las herramientas. Es un complemento del certificado principal.

PK83317T V7.4.pdf- Informe Técnico de Seguridad Funcional. Es un complemento del certificado principal.

Además, todos los usuarios de la prueba Parasoft C / C ++ que estén desarrollando software crítico para la seguridad deben registrarse para recibir actualizaciones de la lista de "defectos conocidos". Parasoft mantiene una lista actualizada de defectos conocidos y la distribuye a todos los usuarios registrados.

¿Cómo obtengo la certificación TÜV?

La certificación TÜV se puede descargar desde el portal del cliente de Parasoft, que está disponible en la página web principal de Parasoft (parasoft.com). Los clientes pueden iniciar sesión con sus credenciales e ir a "Productos y licencias", "Descargas" y seleccionar el "Paquete de distribución de seguridad funcional".

El "Paquete de distribución de seguridad funcional" está disponible para todos los clientes que hayan comprado la edición "Cumplimiento" de Parasoft C / C ++test.

Por Miroslaw Zielinski

Gerente de producto para las soluciones de prueba integradas de Parasoft, las especialidades de Miroslaw incluyen C / C ++, RTOS, análisis de código estático, pruebas unitarias, gestión de la calidad del software para aplicaciones críticas de seguridad y cumplimiento del software con los estándares de seguridad.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.