您已經(jīng)使用用于身份驗(yàn)證的組件（如密碼、視網(wǎng)膜掃描、物理密鑰以及加密/解密等）保護(hù)了連接物聯(lián)網(wǎng) （IoT） 的系統(tǒng)。但是僅僅建造這些東西是不夠的。您必須確定它們都能正常工作，并且代碼不包含任何可能授予黑客訪問(wèn)權(quán)限的缺陷。安全性需要在項(xiàng)目一開(kāi)始就使用安全協(xié)議并繼續(xù)到應(yīng)用程序中的功能元素來(lái)構(gòu)建。獲得這種保證的一個(gè)強(qiáng)大工具是動(dòng)態(tài)分析。

動(dòng)態(tài)分析檢查已編譯的運(yùn)行代碼，并將其關(guān)聯(lián)回源代碼。它是一套工具中的主要組件，包括代碼覆蓋率、需求可追溯性和靜態(tài)分析。當(dāng)然，這意味著動(dòng)態(tài)分析只是制作安全應(yīng)用程序所需的重要部分之一。但是，在執(zhí)行代碼時(shí)對(duì)其進(jìn)行分析有兩個(gè)優(yōu)點(diǎn)：

1. 它可以通過(guò)使用代碼覆蓋率來(lái)指示已執(zhí)行或測(cè)試的部分來(lái)衡量我們測(cè)試的有效性。這意味著它還可以識(shí)別不需要或可以作為黑客網(wǎng)關(guān)的“死”代碼。

2. 它可以利用自動(dòng)測(cè)試生成和手動(dòng)測(cè)試來(lái)檢查應(yīng)用程序在面對(duì)預(yù)期和意外輸入時(shí)的行為。此類(lèi)輸入可以來(lái)自用戶(hù)，也可以來(lái)自傳感器。它讓我們看到系統(tǒng)在這種情況下會(huì)做什么，以及這對(duì)安全和安保意味著什么。

手動(dòng)和自動(dòng)生成的測(cè)試都應(yīng)與程序的要求相關(guān)。具有可來(lái)回追溯到代碼的需求對(duì)于理解系統(tǒng)的預(yù)期行為至關(guān)重要。此外，無(wú)論所需的覆蓋級(jí)別如何，將代碼行為鏈接回需求的能力都有助于確保我們的正確操作。這對(duì)于安全要求尤其重要。如果您可以看到代碼的行為方式，并且可以將其鏈接回安全要求，則可以測(cè)試這些要求的有效性（例如，通過(guò)模擬攻擊）并確定它們是否足夠或應(yīng)該改進(jìn)。

動(dòng)態(tài)分析不僅用于測(cè)試已完成的程序。它還可用于單元和集成測(cè)試中的巨大優(yōu)勢(shì)。結(jié)合靜態(tài)分析，查看未編譯的代碼，可用于自動(dòng)生成測(cè)試用例、測(cè)試工具和整個(gè)框架，以驗(yàn)證不同團(tuán)隊(duì)的工作并將它們順利集成到整個(gè)系統(tǒng)中。了解控制流和數(shù)據(jù)流的能力可以深入了解數(shù)據(jù)（以變量、參數(shù)等形式）是如何作的。這使我們能夠看到軟件組件之間的依賴(lài)關(guān)系，以及每個(gè)組件是否從呈現(xiàn)的數(shù)據(jù)中產(chǎn)生預(yù)期的結(jié)果。

如前所述，動(dòng)態(tài)分析是一組可以一起使用的工具之一。當(dāng)與靜態(tài)分析結(jié)合使用以測(cè)試安全屬性時(shí)，這通常被標(biāo)識(shí)為混合應(yīng)用程序安全測(cè)試或 HAST。靜態(tài)分析用于檢查編碼標(biāo)準(zhǔn)的合規(guī)性，以便使用 MISRA 或 CERT C 等標(biāo)準(zhǔn)消除代碼漏洞。它還可用于在執(zhí)行之前確定軟件組件之間的數(shù)據(jù)和控制流關(guān)系和依賴(lài)關(guān)系。從靜態(tài)分析的角度清理代碼后，它可以轉(zhuǎn)向動(dòng)態(tài)分析，其中代碼將接受自動(dòng)生成的測(cè)試和使用預(yù)期和意外輸入的手動(dòng)測(cè)試。

因此，在靜態(tài)分析和需求可追溯性等補(bǔ)充工具的支持下，動(dòng)態(tài)分析可以大大有助于確保安全、安全和最終可認(rèn)證的軟件工作。

審核編輯：郭婷