马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
x
本帖最后由 hirain123 于 2024-4-19 10:41 编辑
伴随着汽车与外界的交互手段不断丰富,车联网相关设备、系统间的数据交互更加频繁,万物互联下的网络攻击也逐渐渗透延伸到车联网的领域。汽车行业面临着重大的信息安全挑战。此外,UNECE WP.29 R155和ISO/SAE 21434标准也对汽车的信息安全提出了规范化的要求,旨在产品全生命周期中,分阶段将信息安全威胁导致的风险降低到合理的范围,汽车信息安全不容忽视。 经纬恒润针对ISO/SAE 21434、WP.29 R155等进行了深入研究,结合多年功能安全、信息安全经验,为客户提供关键产品的信息安全测试解决方案。本文特别推出基于信息安全的软测工具链解决方案,为客户在信息安全方向实现自动化测试提供优选。
平台化信息安全测试解决方案之信息安全平台实施 ISO/SAE 21434按照产品全生命周期的顺序,定义了概念设计、研发、验证、生产、运维以及报废等各阶段对于车辆信息安全的要求。Cybellum面向信息安全的测试与管理平台,可以在各个阶段对产品进行安全风险检测与评估,从SBOM到漏洞管理、合规性验证和持续风险监控,可以确保产品长期安全。此外,它还有丰富的API接口,支持与多种平台的集成,实现流程化的检测。 图1 Cybellum信息安全平台介绍
WP.29 R155标准中要求供应商进行CSMS(信息安全管理体系要求)与VTA(车辆形式要求)认证,车辆才可以销往欧盟等海外国家。Cybellum可以提供CSMS活动的完全覆盖,贯穿到整个产品生命周期中,其中包括: Asset Management Concept & Design TARA SBOM Licensing Compliance Vulnerability Management Security Testing Threat Monitoring Incident Response Governance & Compliance
该平台为客户提供了“自动化CSMS”的独特能力,如下图,通过Cyber Digital Twins核心技术,实现自动化SBOM创建,许可合规、安全评估和事件响应等。 图2:CSMS活动
源码级信息安全测试解决方案之静态分析 在ISO/SAE 21434中,RC-10-20中要求针对信息安全,使用合适的建模、设计或编程语言的标准,如果该语言本身没有充分解决安全问题,则应由编码指南或开发环境涵盖。 下图展示了ISO/SAE 21434对静态测试的要求,适用于信息安全的设计、建模和编程语言标准可包括使用语言子集;强制使用强类型;防御性编程技术,Helix QAC工具均可以实现检测。 图3:ISO/SAE 21434对静态测试的要求
Helix QAC支持行业内常用的规则包,如MISRA C、MISRA C++、AUTOSRA C++、CERT、CWE 等,用户可以根据需要选择所需的规则包,并可在规则包的基础上添加额外的规则,或进行精简。 Helix QAC中内置了上千条规则,其中包含相关规则,对隐式类型转换进行相关警告,以确保强数据类型的使用。 Helix QAC会强调应该限制语言使用的领域,以避免不可预见的问题和减少潜在的错误,从而确保开发者使用防御性编程技术。
图4:源码级信息安全测试解决方案之静态分析
源码级信息安全测试解决方案之单元/集成测试 在ISO/SAE 21434中,在单元/集成测试方面对测试用例设计方法以及覆盖度做了相应的要求。 图5:ISO/SAE 21434中对测试用例设计方法的要求
图6: ISO/SAE 21434中对覆盖度的要求
图7:源码级信息安全测试解决方案之单元/集成测试
经纬恒润提供汽车信息安全解决方案,旨在借助产品安全平台以及服务,帮助国内汽车OEM及其供应商能够在汽车软件开发全生命周期内大规模评估和降低安全风险,保证产品安全。
|