【導讀】從(cong)發(fa)電(dian)廠(chang)到(dao)工(gong)廠(chang)再(zai)到(dao)供(gong)水(shui)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)正(zheng)在(zai)從(cong)專(zhuan)有(you)和(he)封(feng)閉(bi)的(de)網(wang)絡(luo)轉(zhuan)變(bian)為(wei)物(wu)聯(lian)網(wang)的(de)一(yi)部(bu)分(fen)。安(an)全(quan)的(de)開(kai)發(fa)過(guo)程(cheng)可(ke)以(yi)減(jian)少(shao)這(zhe)些(xie)關(guan)鍵(jian)基(ji)礎(chu)設(she)施(shi)中(zhong)的(de)軟(ruan)件(jian)漏(lou)洞(dong)。

從(cong)發(fa)電(dian)廠(chang)到(dao)工(gong)廠(chang)再(zai)到(dao)供(gong)水(shui)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)正(zheng)在(zai)從(cong)專(zhuan)有(you)和(he)封(feng)閉(bi)的(de)網(wang)絡(luo)轉(zhuan)變(bian)為(wei)物(wu)聯(lian)網(wang)的(de)一(yi)部(bu)分(fen)。安(an)全(quan)的(de)開(kai)發(fa)過(guo)程(cheng)可(ke)以(yi)減(jian)少(shao)這(zhe)些(xie)關(guan)鍵(jian)基(ji)礎(chu)設(she)施(shi)中(zhong)的(de)軟(ruan)件(jian)漏(lou)洞(dong)。

在一個可能讓大多數軟件開發人員感到震驚的情況下
，計算機蠕蟲已經成為電影明星。在新動作驚悚片《零日》中
，反派炸毀了化工廠，關閉了核電冷卻係統，破壞了火車，關閉了國家電網等等。這部快速移動的動作片的明星是臭名昭著的Stuxnet蠕蟲，據報道，這是由美國和以色列情報部門開發的
，旨在削弱伊朗的核計劃。Stuxnet攻擊了控製核電站內離心機的可編程邏輯控製器（PLC）
，但蠕蟲及其變體可以針對一係列製造，運輸和公用事業操作中的係統進行定製。

正在看電影的公眾基本上沒有意識到潛伏在我們互聯基礎設施中的危險——這些危險一直困擾著工程師和開發人員。通常，工廠自動化係統使用監控和數據采集（SCADA）係統運行
，以實現人機界麵和訪問。IEC61508標準及其衍生物的實施是為了確保在廣泛的行業中運行這些係統的軟件的功能安全。但是，這些SCADA係統（通常基於Windows或Linux）又(you)連(lian)接(jie)到(dao)企(qi)業(ye)管(guan)理(li)，企(qi)業(ye)管(guan)理(li)需(xu)要(yao)訪(fang)問(wen)庫(ku)存(cun)控(kong)製(zhi)，營(ying)銷(xiao)，會(hui)計(ji)和(he)許(xu)多(duo)其(qi)他(ta)目(mu)的(de)。當(dang)然(ran)，這(zhe)些(xie)都(dou)與(yu)外(wai)部(bu)互(hu)聯(lian)網(wang)相(xiang)關(guan)聯(lian)，因(yin)此(ci)為(wei)來(lai)自(zi)外(wai)部(bu)的(de)攻(gong)擊(ji)提(ti)供(gong)了(le)完(wan)美(mei)的(de)途(tu)徑(jing)。因(yin)此(ci)，雖(sui)然(ran)早(zao)期(qi)的(de)封(feng)閉(bi)係(xi)統(tong)依(yi)靠(kao)不(bu)幸(xing)或(huo)惡(e)意(yi)的(de)個(ge)人(ren)來(lai)手(shou)動(dong)安(an)裝(zhuang)蠕(ru)蟲(chong)，但(dan)今(jin)天(tian)的(de)互(hu)聯(lian)網(wang)連(lian)接(jie)工(gong)業(ye)係(xi)統(tong)提(ti)供(gong)了(le)新(xin)的(de)攻(gong)擊(ji)麵(mian)。由(you)於(yu)這(zhe)種(zhong)高(gao)水(shui)平(ping)的(de)連(lian)接(jie)性(xing)和(he)攻(gong)擊(ji)風(feng)險(xian)
，如(ru)果(guo)係(xi)統(tong)不(bu)安(an)全(quan)
，則(ze)不(bu)能(neng)認(ren)為(wei)它(ta)是(shi)安(an)全(quan)的(de)。

IEC61508及(ji)其(qi)衍(yan)生(sheng)產(chan)品(pin)沒(mei)有(you)專(zhuan)門(men)針(zhen)對(dui)安(an)全(quan)性(xing)。開(kai)發(fa)人(ren)員(yuan)需(xu)要(yao)解(jie)決(jue)從(cong)產(chan)品(pin)開(kai)發(fa)階(jie)段(duan)到(dao)上(shang)市(shi)後(hou)管(guan)理(li)的(de)網(wang)絡(luo)安(an)全(quan)問(wen)題(ti)。為(wei)了(le)遵(zun)守(shou)各(ge)種(zhong)準(zhun)則(ze)和(he)要(yao)求(qiu)，開(kai)發(fa)人(ren)員(yuan)必(bi)須(xu)使(shi)用(yong)足(zu)夠(gou)的(de)工(gong)具(ju)來(lai)處(chu)理(li)高(gao)複(fu)雜(za)性(xing)。隨(sui)著(zhe)這(zhe)些(xie)係(xi)統(tong)越(yue)來(lai)越(yue)受(shou)到(dao)認(ren)證(zheng)要(yao)求(qiu)的(de)約(yue)束(shu)，編(bian)碼(ma)的(de)正(zheng)確(que)性(xing)必(bi)須(xu)與(yu)所(suo)需(xu)的(de)功(gong)能(neng)一(yi)起(qi)得(de)到(dao)證(zheng)明(ming)和(he)記(ji)錄(lu)。

開發安全代碼的核心是設計一個策略，該策略可以基於網絡安全指南


，例如美國國家標準與技術研究院（NIST）發布的指南
，以及組織自己的方法
，並將其構建到正在開發的係統的需求文檔中。此外，該項目應采用MISRA C等(deng)編(bian)碼(ma)標(biao)準(zhun)，以(yi)防(fang)止(zhi)可(ke)疑(yi)的(de)方(fang)法(fa)和(he)粗(cu)心(xin)大(da)意(yi)的(de)錯(cuo)誤(wu)

，這(zhe)些(xie)錯(cuo)誤(wu)可(ke)能(neng)會(hui)危(wei)及(ji)安(an)全(quan)性(xing)
，而(er)不(bu)會(hui)立(li)即(ji)顯(xian)現(xian)出(chu)來(lai)，甚(shen)至(zhi)導(dao)致(zhi)功(gong)能(neng)錯(cuo)誤(wu)。當(dang)然(ran)
，下(xia)一(yi)個(ge)重(zhong)要(yao)步(bu)驟(zhou)是(shi)確(que)保(bao)這(zhe)種(zhong)策(ce)略(lve)和(he)編(bian)碼(ma)標(biao)準(zhun)實(shi)際(ji)上(shang)已(yi)經(jing)有(you)效(xiao)地(di)執(zhi)行(xing)。由(you)於(yu)當(dang)今(jin)軟(ruan)件(jian)的(de)規(gui)模(mo)和(he)複(fu)雜(za)性(xing)，這(zhe)不(bu)再(zai)可(ke)以(yi)手(shou)動(dong)完(wan)成(cheng)，必(bi)須(xu)使(shi)用(yong)一(yi)套(tao)全(quan)麵(mian)的(de)工(gong)具(ju)，可(ke)以(yi)在(zai)編(bian)譯(yi)之(zhi)前(qian)和(he)之(zhi)後(hou)徹(che)底(di)分(fen)析(xi)代(dai)碼(ma)。

使用可追溯性和分析來驗證安全性

雖(sui)然(ran)定(ding)義(yi)需(xu)求(qiu)是(shi)必(bi)不(bu)可(ke)少(shao)的(de)第(di)一(yi)步(bu)，但(dan)必(bi)須(xu)有(you)一(yi)個(ge)明(ming)確(que)定(ding)義(yi)的(de)方(fang)法(fa)來(lai)跟(gen)蹤(zong)和(he)驗(yan)證(zheng)是(shi)否(fou)滿(man)足(zu)需(xu)求(qiu)。需(xu)求(qiu)可(ke)追(zhui)溯(su)性(xing)和(he)管(guan)理(li)可(ke)提(ti)高(gao)代(dai)碼(ma)質(zhi)量(liang)以(yi)及(ji)應(ying)用(yong)程(cheng)序(xu)的(de)整(zheng)體(ti)安(an)全(quan)性(xing)、安全性和有效性。基於需求文檔的雙向可追溯性可確保每個高級需求都由一個或多個低級需求覆蓋，並且每個低級需求都鏈接到代碼

、驗(yan)證(zheng)活(huo)動(dong)和(he)流(liu)程(cheng)中(zhong)生(sheng)成(cheng)的(de)工(gong)件(jian)。同(tong)樣(yang)
，這(zhe)些(xie)鏈(lian)接(jie)必(bi)須(xu)追(zhui)溯(su)到(dao)從(cong)工(gong)件(jian)和(he)代(dai)碼(ma)到(dao)需(xu)求(qiu)的(de)上(shang)遊(you)
，確(que)保(bao)流(liu)程(cheng)中(zhong)任(ren)何(he)階(jie)段(duan)的(de)任(ren)何(he)更(geng)改(gai)都(dou)可(ke)以(yi)輕(qing)鬆(song)檢(jian)測(ce)、理解和適當地管理（圖 1）。

圖1 需求可追溯性工具提供了流程透明度，對於確定開發流程所有階段的影響分析至關重要。

xuqiukezhuisuxinggongjuyunxutuanduichulidangehuodong，bingjiangdaimaheyanzhenggongjianlianjiehuigenggaojibiedemubiao。zaishuangxiangxuqiukezhuisuxingdejianduxia，zaikaifaguochengdezaoqihelianxujieduanyingyonglesangezhuyaogongneng。zhexieshijingtaifenxi
，gongnengceshihejiegoufugaifenxidedongtaifenxiyijidanyuan/集成測試。後者在開發過程的早期應用靜態和動態分析

，也適用於後期集成的代碼。

靜態和動態安全分析合作夥伴

在zai確que保bao安an全quan性xing時shi，兩liang個ge主zhu要yao問wen題ti是shi數shu據ju和he控kong製zhi。必bi須xu考kao慮lv的de問wen題ti包bao括kuo，誰shui有you權quan訪fang問wen哪na些xie數shu據ju
？誰shui能neng從cong中zhong讀du取qu
，誰shui可ke以yi寫xie信xin給gei它ta？與yu哪na些xie實shi體ti之zhi間jian的de數shu據ju流liu是shi什shen麼me？以yi及ji訪fang問wen控kong製zhi如ru何he影ying響xiang控kong製zhi？在zai這zhe裏li
，“誰”可ke以yi指zhi開kai發fa人ren員yuan和he操cao作zuo員yuan以yi及ji黑hei客ke等deng人ren，也ye可ke以yi指zhi應ying用yong程cheng序xu中zhong的de軟ruan件jian組zu件jian或huo居ju住zhu在zai網wang絡luo架jia構gou中zhong的de某mou個ge地di方fang。為wei了le解jie決jue這zhe些xie問wen題ti
，靜jing態tai和he動dong態tai分fen析xi必bi須xu齊qi頭tou並bing進jin。

在zai靜jing態tai分fen析xi方fang麵mian
，這zhe些xie工gong具ju使shi用yong未wei編bian譯yi的de源yuan代dai碼ma來lai檢jian查zha代dai碼ma的de各ge種zhong質zhi量liang指zhi標biao
，例li如ru複fu雜za性xing，清qing晰xi度du和he可ke維wei護hu性xing。靜jing態tai分fen析xi還hai可ke用yong於yu根gen據ju選xuan定ding的de編bian碼ma規gui則ze檢jian查zha代dai碼ma
，這zhe些xie規gui則ze可ke以yi是shi支zhi持chi的de編bian碼ma標biao準zhun（如MISRA C或CERT C）derenyizuhe，yijikaifarenyuanhuogongsikenengzhidingderenhezidingyiguizeheyaoqiu。zhexiegongjuxunzhaokenengweijianquanxingderuanjiangouzao，bingjianzhaneicunbaohuyiquedingshuiyouquanfangwennaxieneicunbinggenzongkenengbianlineicunweizhidezhizhen。lixiangqingkuangxia，jieguoyingyituxingpingmuxianshi，yibianyupinggujieguo，yiquebaodaimaganjing、一致且可維護，並符合編碼標準（圖 2）。

ciguochengkeyitongguoyunxingfenxigongjubingzhenduiyingyongchengxudeyuandaimajinxingbianmabiaozhundingyilaizidongwancheng。jihukeyikendingdeshi
，cileidaimaxuyaoxiugai，yifuheyitianjiadao MISRA C 中的最新安全要求（圖 2）。

圖2 編碼標準合規性與文件/功能名稱內聯顯示
，以顯示係統的哪些方麵不符合標準。編程標準調用圖顯示了係統編碼標準合規性的高級彩色編碼視圖。

另(ling)一(yi)方(fang)麵(mian)，動(dong)態(tai)分(fen)析(xi)測(ce)試(shi)已(yi)編(bian)譯(yi)的(de)代(dai)碼(ma)
，該(gai)代(dai)碼(ma)使(shi)用(yong)編(bian)譯(yi)器(qi)生(sheng)成(cheng)的(de)符(fu)號(hao)數(shu)據(ju)鏈(lian)接(jie)回(hui)源(yuan)代(dai)碼(ma)。動(dong)態(tai)分(fen)析(xi)，特(te)別(bie)是(shi)代(dai)碼(ma)覆(fu)蓋(gai)率(lv)分(fen)析(xi)，可(ke)以(yi)提(ti)供(gong)對(dui)測(ce)試(shi)過(guo)程(cheng)有(you)效(xiao)性(xing)的(de)深(shen)刻(ke)見(jian)解(jie)。但(dan)是(shi)，開(kai)發(fa)人(ren)員(yuan)通(tong)常(chang)嚐(chang)試(shi)手(shou)動(dong)生(sheng)成(cheng)和(he)管(guan)理(li)自(zi)己(ji)的(de)測(ce)試(shi)用(yong)例(li)。從(cong)需(xu)求(qiu)文(wen)檔(dang)開(kai)始(shi)工(gong)作(zuo)是(shi)生(sheng)成(cheng)測(ce)試(shi)用(yong)例(li)的(de)典(dian)型(xing)方(fang)法(fa)，它(ta)們(men)可(ke)能(neng)會(hui)以(yi)不(bu)同(tong)程(cheng)度(du)的(de)有(you)效(xiao)性(xing)刺(ci)激(ji)和(he)監(jian)視(shi)應(ying)用(yong)程(cheng)序(xu)的(de)各(ge)個(ge)部(bu)分(fen)，但(dan)考(kao)慮(lv)到(dao)當(dang)今(jin)代(dai)碼(ma)的(de)大(da)小(xiao)和(he)複(fu)雜(za)性(xing)，這(zhe)不(bu)足(zu)以(yi)使(shi)代(dai)碼(ma)正(zheng)確(que)無(wu)誤(wu)或(huo)獲(huo)得(de)可(ke)能(neng)需(xu)要(yao)的(de)任(ren)何(he)認(ren)證(zheng)或(huo)批(pi)準(zhun)。

zidongshengchengceshiyonglikeyidadazengqiangceshiguocheng
，jieshengshijianhejinqian。danshi，youxiaodeceshiyonglishengchengjiyudaimadezhiliangjingtaifenxi。jingtaifenxitigongdexinxiyouzhuyuzidongceshiyonglishengchengqizaidongtaifenxiqijianweiyingyongchengxuzhongderuanjianzujianchuangjianshidangdejili。keyishoudongchuangjiangongnengceshiyikuochongzidongshengchengdeceshiyongli，congertigonggenghaodedaimafugailvhegengyouxiaohegenggaoxiaodeceshiguocheng。shoudongchuangjiandeceshitongchangshicongxuqiushengchengde，jixuqiuqudongdeceshi。zhexieyinggaibaokuorenhegongnenganquanceshi，lirumonichangshifangwenkongzhishebeihuoxiangqitigonghuigaibianqirenwudecuowushuju。jiyuchuangjiandeceshidegongnengceshiyingbaokuolubangxing
，liruceshibuyunxudeshuruheyichangtiaojiandejieguo。ciwai，dongtaifenxibujintigongdaimafugailv，haitigongshujuliu/控製分析，反過來可以使用雙向需求可追溯性來檢查其完整性。

除了測試是否符合標準和要求外，還有必要檢查可能是“血統不明的軟件”或SOUP代碼的任何部分。例如，存在與“死”代(dai)碼(ma)區(qu)域(yu)相(xiang)關(guan)的(de)危(wei)險(xian)

，這(zhe)些(xie)區(qu)域(yu)可(ke)能(neng)被(bei)黑(hei)客(ke)激(ji)活(huo)或(huo)係(xi)統(tong)中(zhong)的(de)晦(hui)澀(se)事(shi)件(jian)用(yong)於(yu)惡(e)意(yi)目(mu)的(de)。盡(jin)管(guan)從(cong)頭(tou)開(kai)始(shi)實(shi)現(xian)安(an)全(quan)性(xing)是(shi)理(li)想(xiang)的(de)，但(dan)大(da)多(duo)數(shu)項(xiang)目(mu)都(dou)包(bao)含(han)預(yu)先(xian)存(cun)在(zai)的(de)代(dai)碼(ma)，這(zhe)些(xie)代(dai)碼(ma)可(ke)能(neng)具(ju)有(you)看(kan)起(qi)來(lai)隻(zhi)是(shi)所(suo)需(xu)的(de)功(gong)能(neng)。開(kai)發(fa)人(ren)員(yuan)需(xu)要(yao)抵(di)製(zhi)自(zi)動(dong)引(yin)入(ru)此(ci)類(lei)代(dai)碼(ma)（甚至是來自同一組織的代碼），而(er)無(wu)需(xu)對(dui)其(qi)進(jin)行(xing)與(yu)他(ta)們(men)自(zi)己(ji)的(de)代(dai)碼(ma)完(wan)全(quan)相(xiang)同(tong)的(de)嚴(yan)格(ge)分(fen)析(xi)。靜(jing)態(tai)和(he)動(dong)態(tai)分(fen)析(xi)一(yi)起(qi)使(shi)用(yong)可(ke)以(yi)揭(jie)示(shi)死(si)代(dai)碼(ma)的(de)區(qu)域(yu)，這(zhe)些(xie)區(qu)域(yu)可(ke)能(neng)是(shi)危(wei)險(xian)源(yuan)，也(ye)可(ke)能(neng)隻(zhi)是(shi)占(zhan)用(yong)空(kong)間(jian)。有(you)必(bi)要(yao)正(zheng)確(que)識(shi)別(bie)此(ci)類(lei)代(dai)碼(ma)並(bing)進(jin)行(xing)處(chu)理(li)，通(tong)常(chang)是(shi)通(tong)過(guo)消(xiao)除(chu)它(ta)。當(dang)開(kai)發(fa)團(tuan)隊(dui)（可能在完全不同的位置）開發、測試、修改和重新測試單元時，可以存儲、共享和使用從綜合工具套件生成的測試記錄，同時將單元集成到更大的項目中。

為wei了le使shi係xi統tong可ke靠kao和he安an全quan，它ta們men還hai必bi須xu是shi安an全quan的de。為wei此ci

，它ta們men必bi須xu被bei編bian碼ma為wei不bu僅jin遵zun守shou語yu言yan規gui則ze，而er且qie還hai要yao遵zun守shou確que保bao安an全quan和he保bao障zhang的de明ming確que定ding義yi的de策ce略lve。將jiang一yi套tao全quan麵mian的de測ce試shi和he分fen析xi工gong具ju應ying用yong於yu組zu織zhi的de開kai發fa過guo程cheng，可ke以yi大da大da提ti高gao安an全quan措cuo施shi的de徹che底di性xing和he準zhun確que性xing
，以yi保bao護hu重zhong要yao係xi統tong。它ta還hai使shi團tuan隊dui為wei共gong同tong目mu標biao而er共gong同tong努nu力li並bing對dui最zui終zhong產chan品pin充chong滿man信xin心xin的de努nu力li變bian得de順shun利li。由you此ci產chan生sheng的de產chan品pin將jiang有you更geng好hao的de機ji會hui獲huo得de客ke戶hu批pi準zhun
，如ru果guo需xu要yao，還hai可ke以yi獲huo得de當dang局ju的de認ren證zheng - 並且它不太可能成為下一部大片的明星。

免責聲明：本文為轉載文章
，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻
、圖片、文字如涉及作品版權問題
，請聯係小編進行處理。

推薦閱讀：

CITE2023 集成電路專區要“火”—從兩會看中國集成電路發展主旋律

汽車測試的一站式解決方案，盡在2023廣州汽車測試測量技術展

開關電容穩壓器|電流增益

升壓DC－DC穩壓器轉換為電流源進行電池充電

使用藍牙網狀網絡進行設計：設備要求