一架波音 787 飛機(jī)包含大約 650 萬行軟件。令人印象深刻的是，直到您意識(shí)到現(xiàn)代汽車平均有 2000 萬行代碼，才能使客機(jī)超過三倍。雖然人類生命和安全取決于兩個(gè)系統(tǒng)中軟件的正常運(yùn)行，但汽車行業(yè)在確保功能安全性方面落后于航空航天。

近年來，汽車行業(yè)采用了 ISO 26262 等功能安全標(biāo)準(zhǔn)，但并未同樣重視安全性。根據(jù)BI Intelligence的數(shù)據(jù)，現(xiàn)在該行業(yè)正在迎頭趕上，預(yù)計(jì)聯(lián)網(wǎng)汽車的數(shù)量將從 2015 年的 3600 萬輛增長到 2020 年的 3.81 億輛，測(cè)試?yán)^續(xù)顯示聯(lián)網(wǎng)汽車的安全漏洞。

從客戶（駕駛員）的角度來看，確保安全和安全的責(zé)任落在了汽車制造商身上。反過來，這些 OEM 依賴于一級(jí)和二級(jí)供應(yīng)商提供一系列電子控制單元 （ECU）、車聯(lián)網(wǎng) （V2X） 通信、高級(jí)駕駛輔助系統(tǒng) （ADAS） 和信息娛樂系統(tǒng)?，F(xiàn)在，這些系統(tǒng)中的每一個(gè)都連接到一個(gè)通用的車輛網(wǎng)絡(luò)（圖 1），每個(gè)系統(tǒng)都有助于不斷擴(kuò)大的攻擊面。分離內(nèi)核和管理程序等安全方法可以通過提供運(yùn)行時(shí)分離和隔離在一定程度上緩解該問題，但它們不能提供安全保證——僅僅是一道防線。

最佳實(shí)踐表明，安全性（如功能安全性）不能是事后才想到的。它必須是整個(gè)軟件開發(fā)生命周期的一部分。

需求是安全軟件開發(fā)生命周期的一部分

安全開發(fā)生命周期始于 OEM 向一級(jí)和二級(jí)供應(yīng)商提出的特定安全要求。然后必須將這些要求應(yīng)用于開發(fā)過程和生產(chǎn)的軟件。必須向 OEM 驗(yàn)證和證明過程和生成的軟件方面的結(jié)果，以便 OEM 可以驗(yàn)證整個(gè)車輛及其系統(tǒng)是安全的。

只有可以跟蹤和驗(yàn)證要求才有意義，而實(shí)施這些要求依賴于遵守必須不斷檢查和驗(yàn)證的實(shí)踐和標(biāo)準(zhǔn)。可以將安全編碼實(shí)踐和標(biāo)準(zhǔn)與策略（整體方法）和策略（詳細(xì)執(zhí)行）進(jìn)行比較。不遵守其中任何一個(gè)都可能導(dǎo)致危害安全的錯(cuò)誤。幸運(yùn)的是，可以使用適當(dāng)?shù)淖詣?dòng)化測(cè)試工具和方法來檢測(cè)這些錯(cuò)誤。

計(jì)算機(jī)應(yīng)急準(zhǔn)備小組 （ CERT ） 網(wǎng)站列出了 12 種安全編碼實(shí)踐，可被視為戰(zhàn)略編碼方法或安全要求。它們包括諸如“驗(yàn)證輸入”和“注意編譯器警告”等建議，同時(shí)使用編譯器的最高警告級(jí)別。另一條建議是“保持簡單”，這可以通過圈復(fù)雜度等指標(biāo)進(jìn)行測(cè)試。這突出了比預(yù)期更復(fù)雜的函數(shù)，因此任何超出指定范圍的復(fù)雜度值都可以證明是合理的，目的是創(chuàng)建更清晰、更可維護(hù)和更可測(cè)試的代碼。12 項(xiàng)實(shí)踐中的另一個(gè)關(guān)鍵建議是采用安全編碼標(biāo)準(zhǔn)。

采用安全編碼標(biāo)準(zhǔn)

編碼標(biāo)準(zhǔn)規(guī)定了使用特定語言（例如 C 或 C++）編寫安全代碼的特定規(guī)則和指南（策略）。其中一個(gè)編碼標(biāo)準(zhǔn)是 CERT C，它有 98 條規(guī)則用于開發(fā)安全、可靠和可靠的系統(tǒng)。規(guī)則按部分分組，涵蓋字符串、內(nèi)存和表達(dá)式等內(nèi)容。MISRA C 和 MISRA C++ 是另外兩種在汽車行業(yè)廣泛使用的流行編碼標(biāo)準(zhǔn)。這些 MISRA 標(biāo)準(zhǔn)始終針對(duì)“關(guān)鍵”代碼，這意味著它們始終適用于安全和安保關(guān)鍵系統(tǒng)。MISRA C:2012 修正案 1 通過引入 14 條專門針對(duì)安全的新指南進(jìn)一步強(qiáng)調(diào)了這一點(diǎn)。

編碼標(biāo)準(zhǔn)處理為安全系統(tǒng)正確使用高級(jí)語言的細(xì)節(jié)，限制編碼結(jié)構(gòu)以最大限度地減少潛在漏洞。使用標(biāo)準(zhǔn)的一個(gè)好處是可以使用靜態(tài)分析工具檢查源代碼是否符合所選標(biāo)準(zhǔn)，最好在整個(gè)開發(fā)過程中進(jìn)行。

結(jié)構(gòu)性覆蓋提供信心

保護(hù)聯(lián)網(wǎng)汽車及其廣泛多樣的攻擊面是一項(xiàng)艱巨的任務(wù)。例如，可以通過信息娛樂系統(tǒng)、GPS、ODB2 診斷端口或軟件/固件更新過程進(jìn)行訪問。一旦車載網(wǎng)絡(luò)被破壞，安全關(guān)鍵系統(tǒng)（如安全氣囊、制動(dòng)、轉(zhuǎn)向、傳輸和防撞）中的漏洞可能會(huì)被暴露和利用。任何這些系統(tǒng)中的編碼錯(cuò)誤都可能導(dǎo)致災(zāi)難，因此開發(fā)人員必須測(cè)試安全性，然后衡量該測(cè)試的有效性。

在執(zhí)行和測(cè)試編譯的代碼時(shí)，結(jié)構(gòu)覆蓋分析通過識(shí)別和突出顯示哪些代碼已經(jīng)過測(cè)試和沒有經(jīng)過測(cè)試，有助于衡量測(cè)試過程的有效性。顏色編碼格式化的源代碼和流程圖可以很容易地確定還需要做什么（圖 2）。獲得的覆蓋范圍越多，就可以確信不存在包含漏洞的代碼。軟件組件的安全性或安全性越關(guān)鍵，應(yīng)應(yīng)用的覆蓋分析級(jí)別的要求就越高——從簡單的語句覆蓋到修改的條件/決策覆蓋 （MC/DC）。

【圖2 | 使用動(dòng)態(tài)分析的結(jié)構(gòu)覆蓋揭示了尚未采用的功能和路徑。］

結(jié)構(gòu)覆蓋率可能來自整個(gè)運(yùn)行系統(tǒng)的執(zhí)行，或在單元測(cè)試期間。單元測(cè)試?yán)锰峁┛蓤?zhí)行機(jī)制的測(cè)試工具來調(diào)用具有指定輸入的功能或子系統(tǒng)，以便可以驗(yàn)證輸出并跟蹤需求。這種組合導(dǎo)致對(duì)單個(gè)軟件組件和整個(gè)應(yīng)用程序的功能的信心。

一套集成的、協(xié)調(diào)的和可配置的工具對(duì)于處理這些項(xiàng)目的規(guī)模和復(fù)雜性是必不可少的。這些工具自動(dòng)跟蹤、分析和測(cè)試，并維護(hù)重要、復(fù)雜系統(tǒng)的證明和資格或認(rèn)證所需的數(shù)據(jù)。它們?yōu)榘踩?、可靠的軟件開發(fā)生命周期提供了基礎(chǔ)，并為所有團(tuán)隊(duì)成員提供了一種溝通和協(xié)調(diào)工作的機(jī)制。

此外，一旦汽車上路，只要暴露出新的漏洞或引入額外的安全要求，該工具套件就能做出有效且高效的響應(yīng)。

審核編輯：郭婷