提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
翻译|行业资讯|编辑:胡涛|2024-05-14 10:11:06.850|阅读 5 次
概述:许多汽车公司向电子道路车辆的转变从根本上改变了整个行业,提高了汽车的互联性和智能性。随着电子汽车变得更加互联和智能,它们也越来越依赖软件来实现车辆操作,驱动更多的特性和功能来提升驾驶体验。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
许多汽车公司向电子道路车辆的转变从根本上改变了整个行业,提高了汽车的互联性和智能性。随着电子汽车变得更加互联和智能,它们也越来越依赖软件来实现车辆操作,驱动更多的特性和功能来提升驾驶体验。
道路车辆中越多的特性和功能导致了更多的复杂性和代码。更多的代码意味着面临更多的问题。车辆攻击面增加等问题可能会导致攻击者利用漏洞控制和接管道路车辆。这带来了严重的安全问题和网络安全问题,有望彻底改变现代汽车的设计和开发方式。
鉴于软件为现代道路车辆提供动力,网络安全成为一种新的安全措施。一辆标准电动汽车运行超过1亿行的代码,这取决于它配备了哪些附加功能。保护道路车辆免受网络安全威胁比以往任何时候都更加重要。主要攻击载体之一是电子控制单元(ECU),它为车辆子系统的操作、监控和配置提供重要的通信和基本功能。
ECU是微处理器控制的设备,可以提供各种车辆基本功能,包括以下功能:
由于关键事件的时间敏感性,ECU根据其功能划分为多个子系统。现代道路车辆具有多达100个运行车辆功能的ECU。ECU使用其连接的总线进行通信,其中所有ECU通信都由网关处理,以管理和验证ECU发送的消息。
在网关后面部署ECU的目的是确保只有需要相互通信的设备才能进行通信。这是对传统ECU设计的改进,传统ECU接受来自同一布线总线上任何实体的命令并与之共享信息。这是许多汽车攻击的攻击载体,如著名的吉普黑客攻击,引发了许多围绕汽车网络安全标准的改进。
有足够的研究和漏洞利用的证据证明ECU是如何被逆向工程和破坏的。其中包括2015年的吉普黑客攻击、2016年、2017年的特斯拉黑客攻击、2018年的宝马黑客攻击等案例。在这些例子中,ECU都被成功地锁定并破坏,使攻击者能够重新编程并改变车辆功能的行为。
有研究人员对来自不同制造商和供应商的40多个ECU进行了研究。他们分析发现,ECU硬件和软件中都存在300多个漏洞,所有高风险漏洞都存在于软件中。
从一开始就建立安全是新的汽车网络安全标准ISO 21434的首要目标。ECU中存在各种漏洞表明了网络安全的严重性及其对安全的影响,本标准试图通过直接影响道路车辆部件设计和开发的要求和建议来解决这些问题。
ISO 21434旨在将高质量的安全和网络安全措施贯穿于整个产品工程生命周期,以确保道路车辆的设计、制造和部署具有安全机制,从而保护道路车辆功能的可信度、完整性、可用性和真实性。
ISO 21434的两个核心方面集中在以下方面:
1.开展威胁分析和风险评估(TARA)活动,重点关注可能的威胁场景和攻击媒介,以及这些情况会如何影响道路车辆的安全和网络安全。使用TARA并了解针对组件的可能攻击载体是将网络安全纳入设计和架构以减轻网络攻击的理想方式。产品团队应利用TARA来指导和告知安全测试。
2.确保产品开发在从概念(设计)到退役的产品工程生命周期的所有阶段都能解决网络安全问题。ISO 21434鼓励与系统工程V型模型保持一致,以指导车辆制造商和供应商遵循网络安全的良好架构设计要求。这就要求将软件验证和确认作为产品测试的一部分。
软件测试在帮助制造商和供应商满足ISO 21434中列出的要求和建议方面发挥着关键作用。作为软件验证活动的一部分,将静态代码分析正式化是一种理想的方法,可以用来识别和消除代码中的歧义,并找出可能暴露ECU组件中使用的软件漏洞的薄弱环节。这有助于最大限度地减少攻击者可以利用的攻击面,从而破坏控制关键车辆操作的ECU。
具体而言,ISO 21434在第10.4节“要求和建议”中引用并要求进行静态分析。
第10.4.1节中关于设计的需求详细信息强调了选择适合执行语法正确、结构和语法有效的代码的编程语言的必要性。代码必须在逻辑上具有语义意义,并与所使用语言的一组规则相对应。代码必须能够干净地编译,才能转换为指令序列。
强制执行强类型、使用语言子集和实现防御性实现技术都是ISO 21434中规定的要求。使用Parasoft MISRA C和CERT C检查程序和规则使安全编码合规实践正式化,将有助于制造商和供应商遵守ISO 21434的要求和建议,以降低软件和设计中的潜在风险。
采用网络安全和安全编码实践来支持软件验证和确认是一种最佳实践,也是确认ISO 21434中概述的网络安全规范的关键。使用Parasoft C/C++代码分析功能可以简化与关键安全软件相关的软件测试的严格性。
Parasoft C/C++test实现软件测试自动化非常简单,它采用集成方法,将静态分析、代码覆盖率、单元测试、需求可追溯性和报告分析结合在一起,以简化ISO 21434合规性要求。
ISO 21434第10.4.2节提供了软件验证方法列表,使用Parasoft的C/C++代码分析功能可以满足的这些要求。使用数据流分析可以检测到许多安全漏洞。Parasoft的C/C++代码分析引擎可以为产品工程团队提供有深度的流分析,如使用后释放、双重释放和缓冲区溢出。
通过ISO 21434将网络安全置于道路车辆的首要位置,将有助于汽车行业推动更好的实践,以减少和减轻最终可能导致死亡的网络威胁和攻击。
汽车的互联性和智能性改变了网络安全在产品工程中的情境化和优先级。通过正式化ISO 21434,产品工程团队可以利用威胁分析和威胁建模活动,在整个生命周期中为设计决策和产品开发提供信息。
由于驾驶员的安全和保障受到威胁,所以内部安全建设不能再只是一句顺口溜了。网络安全必须植根于整个产品工程团队的思维和活动中,这样整个团队都会思考如何设计和开发软件来预防和减轻网络攻击。
ISO 21434提供了一个思维图,帮助制造商和供应商应对产品开发中的安全和网络安全挑战。这项新标准是加强道路车辆安全保护机制的基石,最终将挽救生命。
Parasoft的C/C++集成自动化测试解决方案是您SDLC和产品工程领域的最佳解决方案。Parasoft在嵌入式软件市场拥有丰富的经验和专业知识,可帮助您满足安全和网络安全合规需求。
软件测试自动化工具、分析、人工智能和报告的独特组合从一开始就提供了对质量和安全问题的可见性。这使产品工程师团队能够根据市场要求的标准和最佳实践加速软件验证。
如果您目前不是Parasoft C/C++test用户,但希望通过C/C++test 2023.2,为C、C++开发人员赋能,欢迎联系我们。了解更多有关Parasoft产品咨询,欢迎咨询
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@capbkgr.cn
HOOPS Luminate不仅提升了TopSolid产品的可视化效果,还帮助其减少了在渲染开发上的投入,使其能够专注于自身的核心竞争力——提供一体化的CAD/CAM/PDM解决方案。
The Enigma Protector 是一款专门设计用来为应用程序添加高强度保护的强大工具。它旨在防止非法复制、反编译和修改代码等操作,以保护应用程序的安全性和完整性。
我们非常高兴地向大家宣布,FastReport Online Designer 2025.1 版本正式发布!这一全新的版本不仅进一步优化了用户体验,还引入了众多实用的新功能与改进,帮助您在浏览器中轻松设计模板和报表。欢迎查阅~
本文将为大家深入介绍QtitanChart组件,看看它是如何实现高效、灵活的Qt数据可视化解决方案,欢迎下载最新版组件体验!
用于应用软件开发的集成Java测试工具
Parasoft C/C++test针对 C/C++ 软件开发提供统一、完全集成的测试解决方案。
Parasoft dotTEST降低C#和VB.NET开发风险,有效地实现符合C#和.NET开发的测试工具的要求
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@capbkgr.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢