BlogProduktISO-26262-Compliance automatisieren – mit GitLab und CodeSonar

Veröffentlicht am: 2. Dezember 2025

5 Minuten Lesezeit

ISO-26262-Compliance automatisieren – mit GitLab und CodeSonar

Systematische Verifizierung von Embedded Systems gegen ISO 26262, MISRA C/C++ und DO-178C – mit automatisierten Audit-Trails für die Automobilentwicklung.

Darwin SanoyDarwin Sanoy
Mark HermelingMark Hermeling

Embedded DevOps

Tutorial

Produkt

Entwicklungsteams für Embedded Systems stehen vor einer anhaltenden Herausforderung: Entwicklungsgeschwindigkeit beibehalten und gleichzeitig strenge Anforderungen an funktionale Sicherheit und Codequalität erfüllen. Standards wie ISO 26262, IEC 62304, DO-178C und IEC 61508 erfordern rigorose Verifizierungsprozesse, die oft manuell und zeitaufwändig sind. Compliance-Reviews gegen Coding-Standards wie MISRA C/C++, isolierte Scanning-Workflows und Verifizierung nach der Entwicklung erzeugen Engpässe. Teams müssen zwischen Geschwindigkeit und Sicherheit wählen.

GitLabs Integration mit CodeSonar (von AdaCore) adressiert diese Herausforderung durch Automatisierung von Compliance-Workflows und ermöglicht kontinuierliche Verifizierung während des gesamten Entwicklungslebenszyklus.

Spezialisiertes Scanning für sicherheitskritische Systeme

Sicherheitskritische Systeme erfordern tiefgehende Analyse von C/C++-Code, der mit spezialisierten Embedded-Tools kompiliert wird. Diese Systeme müssen Compliance mit Coding-Standards (MISRA C/C++, CERT C/C++, AUTOSAR C++) und funktionalen Sicherheits-Frameworks (ISO 26262, DO-178C, IEC 61508) nachweisen, die detaillierte Evidence-Trails erfordern. Neben der Ausrichtung an Coding-Standards müssen Teams auch Sicherheitsbedenken adressieren. Dies bedeutet Tests für Speicherprobleme sowie eine Vielzahl anderer Probleme wie nicht initialisierte Variablen und Command Injection.

CodeSonar führt Whole-Program-Analyse mit spezialisierten Scanning-Fähigkeiten für diese Standards durch. Die Kombination von CodeSonar mit GitLab ermöglicht Teams, Compliance-Workflows zu automatisieren und umfassende Audit-Trails während des gesamten Entwicklungslebenszyklus zu pflegen.

Compliance-Automatisierung vom Commit bis zum Merge

Die GitLab-und-CodeSonar-Integration bietet einen Compliance-as-Code-Ansatz, der Policy-Enforcement ab den frühesten Entwicklungsphasen automatisiert. CodeSonar fungiert als zusätzlicher Scanner innerhalb von GitLab-CI/CD-Pipelines und analysiert Code in jedem Commit und Merge Request.

Da CodeSonar speziell für Embedded Systems entwickelt wurde, führt es tiefgehende Control-Flow- und Data-Flow-Analyse über gesamte Programme durch. Es identifiziert Schwachstellen wie Buffer Overruns, Data Taint, nicht initialisierte Variablen, Use-after-Free-Bedingungen und Command Injection – die Hauptursachen der meisten Sicherheitsvorfälle in Embedded Systems.

Die Integration funktioniert über GitLabs CI/CD-Konfiguration. Wenn Entwickelnde Code-Änderungen pushen, triggert die Pipeline CodeSonar-Scanning. Für C- und C++-Firmware beobachtet CodeSonar Compiler-Invocations während des tatsächlichen Build-Prozesses und erstellt eine interne Repräsentation des Codes, die sophisticated Analyse ermöglicht. Ergebnisse werden vom SARIF-Format in GitLabs Static Application Security Testing (SAST)-Format konvertiert und direkt in Merge Requests angezeigt, wo sie in GitLab Ultimates Security Dashboard, Vulnerability Management und Compliance Frameworks einfließen.

Beispiel-Workflow: ISO-26262-ASIL-D-Compliance

Das Demo-Video zeigt den vollständigen Workflow für ein Embedded System, das ISO-26262-ASIL-D-Anforderungen unterliegt. Das Szenario illustriert, wie Embedded-Entwicklungsteams kontinuierliche Compliance implementieren können, ohne Entwicklungsgeschwindigkeit zu kompromittieren.

<div style="padding:56.25% 0 0 0;position:relative;"><iframe src="https://player.vimeo.com/video/1139086924?badge=0&amp;autopause=0&amp;player_id=0&amp;app_id=58479" frameborder="0" allow="autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share" referrerpolicy="strict-origin-when-cross-origin" style="position:absolute;top:0;left:0;width:100%;height:100%;" title="Automated Compliance for Embedded Systems using GitLab and CodeSonar"></iframe></div><script src="https://player.vimeo.com/api/player.js"></script>

Der Workflow beginnt mit einem Entwickelnden, der einen Merge Request für Firmware-Änderungen einreicht. GitLabs CI/CD-Pipeline triggert automatisch CodeSonar-Scanning, das tiefgehende C/C++-Analyse gegen benutzerdefinierte ISO-26262-Policies durchführt, die in der Pipeline konfiguriert sind. Wenn CodeSonar eine ASIL-D-relevante Schwachstelle identifiziert, stoppt die Pipeline automatisch gemäß der Compliance-Policy mit klarer Dokumentation, die das Problem erklärt. Die vollständigen Scan-Ergebnisse, Issue-Tracking und Approval-Workflow werden in GitLab als Single Source of Truth für Audit-Trails gepflegt.

Entwickelnde können sowohl das CodeSonar-Hub-Interface als auch GitLab Duo AI nutzen, um die Schwachstelle zu verstehen. CodeSonar liefert detaillierte Informationen über den Pfad durch den Source-Code, der zum Problem führt, zusammen mit Code-Navigation-Features zur Isolierung der Root Cause. GitLab Duo erklärt die Schwachstelle und liefert spezifische Remediation-Empfehlungen. Nachdem Entwickelnde den Fix implementiert und die Lösung validiert haben, mergt der Code erfolgreich mit vollständigen Compliance-Evidences, die automatisch während des gesamten Prozesses gesammelt wurden.

Vorteile der Integration

Organisationen, die diese integrierte Compliance mit GitLab und CodeSonar implementieren, werden signifikante Verbesserungen sowohl in Entwicklungsgeschwindigkeit als auch Compliance-Confidence sehen.

  • Effizienzgewinne: Entwicklungsteams reduzieren Time-to-Market durch frühzeitiges Erkennen von Coding-Standard-Compliance-Problemen, wenn sie kostengünstiger zu beheben sind. Automatisierte Security-Policy-Enforcement verringert manuellen Security-Review-Overhead und gibt Spezialistinnen und Spezialisten Freiraum, sich auf komplexe Probleme statt auf Routine-Checks zu konzentrieren. Audit-Readiness verbessert sich durch automatisierte Evidence-Collection. Compliance-Artifacts werden als Nebenprodukt der normalen Entwicklung generiert statt durch separate Dokumentationsaufwände.

  • Compliance-Maturity: Dieser integrierte Ansatz hilft Organisationen, kontinuierliche Compliance mit Industriestandards und Regulierungen aufrechtzuerhalten. Durch Embedding von Verifizierung in jede Code-Änderung bauen Teams umfassende Audit-Trails auf, die Adherence zu ISO 26262, DO-178C, MISRA C/C++ und anderen Anforderungen demonstrieren. Der automatisierte Workflow transformiert Compliance von einem periodischen Checkpoint zu einem kontinuierlichen Verifizierungsprozess.

Implementierung

Die Implementierung der GitLab-und-CodeSonar-Integration erfordert Zugriff auf GitLab Ultimate, einen CodeSonar-Hub, GitLab-Runner, auf denen Code kompiliert und analysiert werden kann, sowie geeignete Mechanismen für das Management von Analyse-Datendateien. Sowohl GitLab als auch CodeSonar unterstützen vollständig On-Premises- und Air-Gapped-Umgebungen und lassen sich auch in auto-skalierbare Cloud-Umgebungen deployen.

Teams sollten Custom Compliance Frameworks in GitLab konfigurieren, um spezifische Policies für ihre relevanten Standards zu definieren: ISO 26262 für Automotive, DO-178C für Aerospace, IEC 62304 für Medizinprodukte und weitere. Diese Frameworks ermöglichen automatisierte Enforcement von Compliance-Anforderungen durch Merge-Request-Approval-Rules, Vulnerability-Thresholds und Scan-Policy-Gates.

Relevanz für den deutschen Automotive-Markt

Deutsche Automotive-OEMs und ihr Supplier-Ökosystem stehen vor stringenten funktionalen Sicherheitsanforderungen. ISO 26262 repräsentiert den "Stand der Technik" nach deutschem Produkthaftungsrecht – Compliance ist nicht optional, sondern rechtlich erforderlich, um Due Diligence nachzuweisen. Deutsche Automotive-Supplier wie Bosch, Continental und ZF müssen umfassende Compliance-Evidences an OEMs liefern, wobei regelmäßige ASPICE-Audits die Process-Maturity verifizieren. Die Integration von GitLab und CodeSonar adressiert diese systematische Verifizierungsanforderung durch Automatisierung der Audit-Trail-Generierung und ermöglicht kontinuierliche Compliance während des gesamten Entwicklungslebenszyklus.

Die Referenz des Posts auf AUTOSAR-C++-Coding-Standards ist besonders relevant für den deutschen Markt. AUTOSAR (AUTomotive Open System ARchitecture), ein Konsortium, das von deutschen Unternehmen einschließlich Bosch mitbegründet und geprägt wurde, liefert das standardisierte Software-Framework, das modernen Automotive-E/E-Systemen zugrunde liegt. CodeSonars Fähigkeit, AUTOSAR-Compliance neben MISRA-C/C++- und ISO-26262-Anforderungen zu verifizieren, ermöglicht deutschen Automotive-Entwicklungsteams, systematisch Adherence zu sowohl industrieweiten als auch deutschen Standards innerhalb eines einheitlichen Workflows nachzuweisen.

Erste Schritte

Die CodeSonar-GitLab-CI-Component ist über GitLabs CI/CD-Catalog verfügbar. Detaillierte Integrations-Dokumentation liefert plattformspezifische Setup-Anweisungen für Linux-, Docker- und Windows-Umgebungen. Für Organisationen, die diese Lösung evaluieren, demonstriert die Implementierung, wie spezialisierte Embedded-Systems-Tools mit einer modernen DevSecOps-Plattform integriert werden können, um sowohl Entwicklungsgeschwindigkeit als auch Compliance-Rigor zu liefern.

Für weitere Informationen über die Implementierung von GitLab mit CodeSonar für die Embedded-Systems-Entwicklung: CodeSonar-Integrations-Dokumentation besuchen. Es lässt sich auch ein Trial von CodeSonar anfordern.

Feedback erwünscht

Dieser Blogbeitrag hat gefallen oder es gibt Fragen oder Feedback? Ein neues Diskussionsthema im GitLab-Community-Forum erstellen und Eindrücke austauschen.
Feedback teilen

Mehr als 50 % der Fortune-100-Unternehmen vertrauen GitLab

Stelle jetzt bessere Software schneller bereit

Erlebe, was dein Team mit der intelligenten

DevSecOps-Plattform erreichen kann.

Kostenlose Testversion anfordern Vertrieb kontaktieren