- 博客(86)
- 资源 (2)
- 收藏
- 关注
RSS订阅转载 安全更新:关于Cybellum维护服务器问题的情况说明(CVE-2023-42419)
我们想通知我们的客户一个我们注意到的安全问题,作为我们对产品透明度和持续安全性的承诺。2023年6月21日,一位名叫Delikely的安全研究员向Cybellum的安全团队报告了一个问题,特别针对Cybellum软件的某个发行版。这个问题是在Cybellum的QCOW air-gapped分布的维护服务器中发现的,专门在中国部署,影响版本为2.15.5到2.27。它不会影响其它旧版本或新版本,包括Cybellum 1.x。
2024-03-27 15:09:14
24
转载 福特汽车公司Darren Shelcusky对UNECE R155/R156法规合规之见解访谈
在接受《Automotive IQ》采访时,福特汽车公司汽车和移动网络安全高级顾问Darren Shelcusky深入探讨了符合UNECE R155/R156法规的关键因素,揭示了汽车行业满足这些严格法规的过程。从区分网络安全标准和法规到详细说明其对主机厂和更广泛的汽车网络安全领域的影响,Darren提供了综合指南。阅读这篇访谈,您将了解随着汽车网络安全的快速发展,符合UNECE R155/R156法规的主要挑战、必要的流程、指标以及更广泛的影响。
2024-02-05 14:45:39
490
原创 揭示AUTOSAR中隐藏的漏洞
虽然AUTOSAR为汽车软件开发提供了一个稳健而标准的框架,但由于使用不当,特别是在NvM API的变量管理中,仍然可能出现潜在的漏洞。随着汽车技术越来越复杂,有必要通过持续的质量保证和定期的渗透测试来加强软件安全性。这些实践,加上对正在使用的框架的深刻理解,可以帮助开发人员降低潜在的安全风险,并提高汽车系统的整体安全性。
2024-01-03 14:20:29
900
转载 CANoe与DDS
在汽车领域,Adaptive AUTOSAR于2018年引用DDS作为可选择的通信方式之一。DDS的实时性恰好适合于自动驾驶系统。因为在这类系统中,通常会存在感知、预测、决策和定位等模块,这些模块都需要非常频繁地高速交换数据。借助DDS,可以很好地满足这类系统的通信需求。凭借以数据为中心及丰富的QoS机制,DDS在汽车行业中逐渐受到青睐,汽车制造商及供应商将DDS作为系统中可选的通讯中间件之一,从而增强其产品的功能特性及可靠性。
2023-08-28 15:57:59
225
转载 CANoe与虚拟机
Vector提供的CANoe软件是进行网络/总线和ECU开发、测试和分析的全面工具,支持总线网络开发从需求分析到系统实现的全过程,包括模型创建、仿真、测试、诊断及通信分析等。但和大多数网络开发工具一样只适用于Windows操作系统,因此开发人员需要考虑如何实现Linux环境和CANoe工具之间的数据交互。本文主要介绍CANoe与虚拟机通过以太网交互的几种常用方法。
2023-07-31 15:17:08
162
转载 WSL 2中安装VectorCAST
如需在Windows平台上搭建Linux开发和测试环境,常用的方法是使用VMware公司的虚拟化产品如VMware Workstation,或VMware vSphere创建Linux虚拟机。为了精简传统虚拟机或双启动设置的开销,微软在Windows 10平台中引入WSL 1兼容层,后续又推出基于虚拟化技术的WSL 2,支持用户在Windows宿主机上直接安装和使用Linux系统(包括大多数Linux发行版中内置的命令行工具、实用工具和应用程序),并全面提升与宿主系统的兼容性和互操作性。
2023-06-13 14:23:55
345
转载 CANoe对SPI、UART和I2C等串行总线的同步仿真与测试
在ECU和传感器系统中,除去各种汽车总线以及智能传感器之间的PSI5和SENT协议之外,在短距离和低成本通信场景中还会广泛使用SPI、UART、RS232、RS485、RS422和I2C等通用串行总线。在HIL系统中,如果被测对象涉及上述串行总线,则需要测试设备能够同时支持对应接口,实现测试、仿真及分析。在CANoe为平台的HIL系统中,I/O板卡VT2710同时支持PSI5/SENT以及上述串行总线协议,为构建经济型测试系统提供便利。
2023-05-09 15:27:22
558
1
转载 基于ISO 21434的汽车网络安全实践
商业领域的IT系统和嵌入式产品的IT系统正在融合为一种多功能系统。相应地,关注汽车网络安全的ISO 21434标准应运而生。该标准的意义在于提供了一个指南,可用于降低产品、项目和组织中存在的安全风险。为了有效实施ISO 21434标准,本文介绍了遵循ISO 21434的系统级安全工程实践方法,并通过实例进行分析。
2023-04-27 13:55:40
846
转载 在Linux系统中运行Classic AUTOSAR软件系统
无论是ADAS/AD软件系统验证的数据回灌训练或并行仿真验证,还是在软件快速迭代中的持续集成与持续测试,都需测试工具满足并行计算和可扩展计算的要求。高性能域控制器通常采用AP(Adaptive AUTOSAR)和CP(Classic AUTOSAR)共存的软件架构,其中AP软件系统可通过TAP的方式与测试环境集成,而CP软件系统的集成则面临挑战;并行仿真环境(Server或云)大多基于Linux系统,这是测试工具集成的难点;同时整个环境需要支持与任务调度工具(如Jenkins)的配合使用也是势在必行。
2023-03-22 11:17:58
534
转载 基于CANoe和Visual Studio实现Classic 和Adaptive AUTOSAR应用层调试
伴随“软件化”和“敏捷化”的推进,从基于域(Domain)架构到基于区域(Zonal)架构的发展,亦或OEM成立软件中心参与软件开发与集成,均面临复杂控制器软件的整合。传统开发大多采用Lauterbach或iSYSTEM等与CANoe结合实现在真实控制器上的调试工作;如今域控器、区域控制器和车载“电脑”中软件将由多方独立并行开发集成,故在开发阶段大部分时间内将面临:无硬件或因耦合软件由第三方开发而无法实现传统调试或测试工作。
2023-02-21 13:34:09
434
原创 选择Fortify静态代码分析工具作为您的下一个SAST工具是正确的吗?
嵌入式系统有很多,但真正能支持嵌入式软件开发人员的静态代码分析工具却很少。OpenText最近对Micro Focus(包括Fortify静态代码分析工具)的收购,重新引发了一个问题,即哪种静态代码分析工具最适合您的嵌入式软件项目。通过比较Fortify和Klocwork,我们的专家找到了答案。
2023-01-12 15:15:53
590
原创 什么是Barr-C?
Barr-C是Barr Group的编码标准,旨在减少嵌入式软件中的漏洞,并引入风格指南,提高可维护性和可移植性。在这里,我们将阐释什么是Barr-C,开发人员如何使用BARR-C:1018检测C语言所编写的固件中的漏洞,以及Barr-C如何与MISRA指南相结合。
2022-12-06 15:04:15
499
原创 医疗器械安全最佳实践
全球各地对医疗器械安全的担忧与日俱增。在美国,由于连接设备的数量不断增加,以及网络攻击对患者的护理造成的破坏力,导致新的立法正在出台。2022年6月8日,美国众议院通过了H.R.7667号法案,该法案旨在解决医疗器械的网络安全问题,只有几项除外,该法案旨在阐明什么应当被认为是“合理的”医疗器械安全。在这里,我们将讨论医疗器械安全H.R.7667号法案包括哪些内容,以及您可以为此做些什么准备。
2022-11-30 16:58:05
392
原创 车载信息娱乐系统的网络安全考虑
如今,新车购买者的关注点更多地集中在“数字座舱生态系统体验”上,而不是马力和燃油经济性等传统功能上。汽车行业已经将通过完全连接的车载信息娱乐(IVI)系统(由触摸显示屏、语音命令以及综合信息娱乐功能组成)提供这种体验作为有限考虑的需求。
2022-11-07 15:12:51
1843
转载 Windows上应用Docker容器技术的动态代码测试
随着软件项目复杂度的提升和不可控的团队资源变更,研发组织对DevOps部署的灵活性、可快速迁移和适配CI/CD的迭代提出了更高的要求。传统的虚拟机方案,即模拟出一个完整操作系统,对这类需求显得力不从心;而轻巧和便捷的容器技术通过在宿主机操作系统上应用虚拟化,直接胜出。本文主要介绍容器技术的代表产品Docker,并对Docker与虚拟机进行对比,以及如何在Windows上应用Docker开展动态代码测试和实现与Jenkins的持续集成。
2022-10-27 16:16:11
300
原创 开发人员使用Klocwork实现软件安全的5大原因
Klocwork是为企业DevOps和DevSecOps而生的,因为Klocwork能够在保持高开发速度的同时,确保在安全和质量方面的持续合规,所以是企业首选的静态分析和SAST工具。在这里,我们将分享开发人员选择Klocwork的5大原因。
2022-10-09 14:32:19
369
原创 开发人员使用Helix QAC满足合规性的5大原因
30多年来,Helix QAC(前PRQA)一直是值得信赖的静态分析工具,能够满足严格监管和安全关键行业的严苛合规要求。在这里,我们将分享开发人员选择Helix QAC的5大原因。
2022-09-28 14:31:11
456
原创 什么是完全的静态分析?
在开发安全、可靠和兼容的软件时,完全的静态分析是一个大有裨益的实践方法。在这里,我们将讨论:从静态分析的角度来看,什么使完全的静态分析与众不同?为什么完全的静态分析很重要?完全的静态代码分析是如何运行的?...
2022-08-31 16:32:37
306
原创 什么是遗留代码:有效地处理遗留代码的8个小贴士
处理旧的而不是您自己编写的历史遗留代码将是一份苦差事。但是,除非您是从头开始一个项目,否则这是不可避免的。这意味着您需要一种更好的方式来处理遗留代码。这就是为什么我们提供了一些指导,解释什么是遗留代码、如何有效地处理遗留代码的最佳实践,以及静态代码分析如何帮助重构代码。...
2022-08-09 15:39:17
656
原创 如何使用MISRA改进嵌入式编程
嵌入式编程主要用于驱动安装在大型设备(如汽车、飞机或医疗设备)旨在执行特定的专用功能的系统。每个专用功能都是通过嵌入式编程实现的。这些代码必须是可靠且无误的,因为任何漏洞都可能对嵌入式系统的安全造成毁灭性的后果。因此,应用像MISRA这样的编码规范来确保代码的可靠性和高质量是非常必要的。在这里,我们将阐释如何使用MISRA改进嵌入式编程。...
2022-07-27 15:43:44
570
原创 静态代码分析是如何工作的
了解静态代码分析是如何工作的,可以帮助您更轻松地提高质量,并在不牺牲速度的情况下遵守编码规范。在这里,我们将阐释静态代码分析是如何工作的。
2022-07-20 16:14:00
750
原创 什么是ISO 21434?给汽车软件开发人员的合规贴士
ISO 21434帮助汽车产品开发商、整车厂(OEM)及其供应商确保其车辆的信息和网络安全。这一点随着汽车之间的联系越来越紧密,自动驾驶汽车的数量越来越多变得相当关键。因此,在设计和实现汽车软件时,考虑到信息和网络安全是非常重要的。在这里,我们将概述什么是ISO 21434,和对汽车嵌入式软件开发团队的一些贴士。...
2022-07-13 15:17:51
2671
原创 为什么Eclipse Iceoryx使用Helix QAC
一辆现代化的汽车包含超过1亿行代码。而且,自动驾驶汽车处理传感器数据必须达到10GB/s,才能实时做出对安全至关重要的决策。所有这些数百万行的代码和数千兆字节的数据都必须高效地处理,以减少发生故障和错误的风险。因此,汽车软件开发人员必须为自动驾驶汽车提供安全的进程间通信。这就是Eclipse Iceoryx得以开发的原因,也是Eclipse Iceoryx选择使用Helix QAC来帮助确保自动驾驶汽车软件的安全性和高质量的原因。...
2022-07-07 14:27:26
263
原创 什么是JSF AV C++编码规范?
联合攻击战斗机空中运载工具C++ (Joint Strike Fighter Air Vehicle C++, 简称JSF AV C++)是由洛克希德•马丁公司(Lockheed Martin)制定的C++编码规范,能够帮助程序员开发适用于安全关键系统的无错误代码。JSF编码规范涵盖了C++的安全关键编码规则。JSF编码规范旨在定义一个C++规则集,从而开发准确、可靠和可维护的代码。...
2022-06-27 15:36:15
625
原创 GitLab SAST:如何将Klocwork与GitLab一起使用
GitLab SAST是GitLab和Klocwork的结合,GitLab是一种覆盖了整个DevOps生命周期的集成解决方案,Klocwork是一个静态代码分析和应用安全静态测试(SAST)工具。当将这两个工具一起使用时,可以为软件开发团队提供一个强大的GitLab SAST解决方案。这里,我们将阐明GitLab SAST的优势。...
2022-06-22 14:37:29
753
原创 MISRA和AUTOSAR将统一C++编码规范 ——这意味着什么
C++的使用正越来越多,从联网的自动驾驶汽车到人工智能(AI)等关键的新兴行业都在采用C++这种语言。确保C++代码的安全性仍然至关重要,特别是当C++语言用于安全相关系统的开发时。编写安全、现代的C++将变得更加容易。这是因为两个最流行的C++编码准则——MISRA C++和AUTOSAR准则——即将合并。...
2022-06-06 16:41:25
807
原创 通过DT10检测多任务阻塞死锁问题
DT10是新一代的动态测试工具,可以长时间跟踪记录目标程序执行情况,获取目标程序动态执行数据,帮助进行难于重现的Bug错误分析,覆盖率检测,性能测试,变量跟踪,多任务程序等等功能;还可以帮助用户检测和调试VxWorks程序多任务阻塞死锁相关问题。
2022-05-25 12:24:27
304
原创 AUTOSAR C++14编码规范的前世今生
现如今,随着汽车电子、新能源和自动驾驶等新技术的迅猛发展,软件在车辆系统中的比重越来越大,软件的可靠性对汽车电子系统和车辆的可靠性起到了至关重要的作用,嵌入式软件的研发成本也占到了汽车研发支出中的很大比重。本文将简要概述AUTOSAR最新发布的C++14编码规范的背景、现状和解决方案。
2022-05-25 12:07:06
916
原创 为什么SOTIF(ISO/PAS 21448)是自动驾驶安全的关键
SOTIF(ISO/PAS 21448)是为了解决自动(和半自动)汽车软件开发人员所面临的新安全挑战而制定的。这一点尤其重要,因为人工智能(AI)和机器学习在自动驾驶汽车的发展中发挥着关键作用。在这里,我们将阐释什么是SOTIF以及其不同部分。
2022-05-25 11:53:36
1394
原创 什么是CVE?常见漏洞和暴露列表概述
常见漏洞和暴露(Common Vulnerability and Exposures,简称CVE)收集了已知的网络安全漏洞和暴露,以帮助您更好地保护您的嵌入式软件。在这里,我们会阐释什么是CVE,CVE列表中包括哪些内容,以及它如何帮助确保您的软件是安全的。
2022-05-18 10:12:58
12148
原创 如何在静态代码分析工具中生成合规报告
确保和验证您的代码库符合特定的编码标准或行业规范可能是一个既困难又耗时的过程。然而,通过使用诸如Helix QAC和Klocwork之类的静态代码分析工具,您可以生成一份合规报告,以查看您的代码库是否合规。
2022-05-18 10:00:59
1241
原创 什么是误报?如何识别误报和漏报
不管开发人员技能多么精通,误报和漏报总是会发生,很可能是他们的代码有某种无意的错误或漏洞。为了确保尽早发现这些编码错误和漏洞,开发人员通常使用代码静态分析工具,工具会根据开发人员设置的规则检查代码。然而,代码静态分析工具并不完美,工具有时也会出现误报和漏报。这些编码错误如果没有被捕获,可能会对代码产生显著的影响。因此,我们将阐释什么是误报,概述误报和漏报的区别,并提供一个误报示例和和一个漏报示例。
2022-05-17 14:48:32
5577
原创 安全编码实践:什么是安全编码标准?
安全编码实践和安全编码标准至关重要,因为高达90%的软件安全问题是由编码错误引起的。在这里,我们将阐释什么是安全编码标准,哪些是您应该执行的安全编码实践,以及如何实施安全标准。
2022-04-18 12:23:28
3887
原创 汽车安全不可避免的数字化转型
编写好的软件很难,确保软件安全就更难了。它需要专业知识(即对常见编程缺陷和规范的认识),检查输入尺寸,管理内存分配和解除分配,处理字符串格式化,避免野指针等等,不胜枚举。通常情况下,编写安全的代码与开发人员编写“流畅”的代码、专注于正确处理业务逻辑,而不是保护所编写的每一行代码的自然愿望是相反的。
2022-04-07 12:24:30
3106
原创 上下文感知分析:对最重要的漏洞进行优先级排序
产品安全团队如何才能确切地了解他们的软件中有什么,哪些漏洞与他们的产品安全相关,以及如何对他们的工作进行优先级排序?更好地理解产品组件运行的上下文,以及特定漏洞可能应用于它们的方式,是任何产品安全团队需要做的事情。重要的是,您要了解您所选择使用的产品相关的所有信息。同样关键的是,要了解若不执行将产品的整个上下文考虑在内的全量分析会产生的影响。
2022-03-28 17:16:27
3742
原创 Docker容器使用指南:如何将Klocwork作为一个容器创建和运行
在这个Docker容器使用指南中,您将学习如何创建和运行Klocwork容器。Docker的基本定义:一种流行的开源操作系统级虚拟化(通常称为“容器化”)技术,它是轻量级的,可移植的,主要在Linux和Windows上运行。Docker让使用容器创建、部署和运行应用程序变得更容易。
2022-03-22 11:03:27
1294
原创 如何将Klocwork与Incredibuild一起使用来提高DevOps生产效率
DevOps组织不断地寻找方法来提高DevOps的生产效率,加快其上市时间。如果没有合适的集成工具,这将相当具有挑战性。通过将Incredibuild和Klocwork相结合,您将可以很轻松地应对DevOps和DevSecOps的挑战。这两个解决方案可以无缝地集成到您的软件开发生命周期(SDLC)工具链中,以对任何规模的代码库提供可操作的反馈,并确保高开发速度。
2022-03-03 11:04:09
3792
原创 Security Best Practices+Klocwork
在部署任何基于web的应用程序时,必须遵循安全最佳实践。这里,我们概述了设置Klocwork(一个静态代码分析和应用安全静态测试的工具(SAST))的步骤,以实现安全操作。这个过程通常是部署在本地的,并且是在防火墙之后。我们也应该采取额外的预防措施,以防在互联网上暴露任何东西。
2022-02-23 13:46:31
3735
转载 汽车网络安全渗透测试
有效的网络安全要求在汽车自身及其组件的生命周期中采用系统化的流程,尤其是在后期由于法律的缘由而必须证明这一有效性时,在前期确保流程的系统化就更加至关重要。本文努力为具体的误用案例以及如何进行相应的验证提供指导。事实证明,GBPT比传统的验证方案更有效率和效果。此外,工程师的心态也必须改变,除了要关注安全功能,更要关注安全设计和验证。企业IT部门多年前就意识到采取一些隔离机制,比如将功能分布在专属子系统中、组件级的保护、组件间的网关和防火墙、关键功能的验证等是不够的,以攻击者的视角进行智能测试同样不可或缺。
2022-02-14 11:27:11
4751
2
嵌入式软件测试工具——DT10
2015-09-24
软件静态测试工具 — QAC/QAC++
2015-06-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人