标签: 汽车安全

本期内容以系统架构设计为例，讲解如何在ISO 26262产品开发过程中实施安全分析，半导体层面的芯片设计也可以参考本文相关内容执行安全分析。 安全分析方法 ISO 26262要求根据不同ASIL等级组合地使用“演绎分析”和“归纳分析”，如表1所示： 表1：安全分析方法 根据表1所列信息，开发团队会常常误认为ASIL B是不需要执行“演绎分析”。事实上，ISO 26262的要求对于连续数字（1，2，3……）所列方法，“+”、“++”分别是推荐、强烈推荐实施的。因此，ASIL B也是推荐实施“演绎分析”的（若没有实施，则需要提供理由）。 演绎分析：人们以一定反映客观规律的理论认识为依据，从服从该事物的已知部分，推理得到事物的未知部分的思维方法。即，从一般规律到个例。通常，“演绎分析”方法采用FTA（Fault Tree Analysis，故障树分析）。 归纳分析：人们以一系列经验事物或知识素材为依据，寻找出其服从的基本规律或共同规律，并假设同类事物中的其他事物也服从这些规律。即：从个例到一般规律。通常，“归纳分析”方法采用FMEA（Failure Mode and Effects Analysis，失效模式和影响分析）。 FMEA分析步骤 关于FMEA方法，建议参考AIAG-VDA FMEA手册，市面上已经有很多成熟的软件工具支持FMEA分析。值得一提的是，在根据AIAG-VDA第5版FMEA手册中，增加FMEA-MSR（Monitoring and System Response，监视和系统响应），作为DFMEA的补充。 通常，FMEA按下图所示的七步法进行： 图1：FMEA七步法 1、DFMEA分析步骤 第1步-策划和准备：确定负责人和团队、项目名称、时间安排和分析工具等信息。 第2步-结构分析：结构化分析对象，例如设计系统架构。 第3步-功能分析：产品功能可视化，例如确定系统架构要素的功能。第3步是在第2步的基础上实施的，因此第2步的“要素”和第3步的“功能”是对应的。 第4步-失效分析：每个功能的潜在失效影响，失效模式和失效起因。 第5步-风险分析：分析针对失效起因的现行预防控制；分析针对失效起因和（或）失效模式的现行探测控制。 第6步-优化：识别、实施降低风险的必要措施。 第7步-结果文件化 将上述第1步～第6步的实施情况记录在FMEA模板或分析工具中，形成完整的FMEA报告。FMEA的总结与分析，包含以下内容： a.文件化FMEA过程中的所有分析记录和采取的措施； b.组织内部/顾客/供应商对结果和分析结论进行沟通，组织FMEA评审验证； c.持续跟进预防措施和探测措施的实施情况，定期动态更新AP值，确保在设计定稿前风险已降到可接受的程度。 2、FMEA-MSR 2.1、FMEA-MSR决策流程 FMEA-MSR作为DFMEA的补充，更加关注产品在实际用户条件下的失效，因此进一步地完善了FMEA在安全相关机电系统（所谓机电系统就是系统中至少包括传感器、电子控制器和执行器或它们的组件）领域的应用。在实际项目开发过程中，研发人员容易把DFMEA和FMEA-MSR搞混，导致了许多重复或遗漏的分析工作。 下图展示了FMEA-MSR决策流程，提供了一个DFMEA和FMEA-MSR配合使用的思路。 图2：FMEA-MSR决策流程 1)在上述流程中，若一个失效模式的严重度被评为8、9、10分，则认为是违背法律法规或功能安全要求。 2)若上述1)不成立，继续执行第5、6步的DFMEA分析。可选择性地根据组织现有流程以及改进计划，增加MSR机制。 3)若上述1)成立，则此时需要分析系统是否已经存在针对客户操作期间发生该失效模式的MSR机制。 4)若上述3）不成立，继续执行第5、6步的DFMEA分析，必须增加MSR机制。增加MSR机制后，由于作了设计变更，因此更新DFMEA，更新后上述第3)点成立，执行第5)点。这里需要注意的是，作为MSR本身而言，通过DFMEA来分析即可。 5)若上述3）成立，则此时直接针对该失效模式进行FMEA-MSR分析。 总结上述内容，下图提供一个形成DFMEA文件和FMEA-MSR文件的思路。事实上，两者既可合并在一起，也可以单独形成文件，取决于开发组织自身的流程。 图3：DFMEA文件和FMEA-MSR文件 2.2、FMEA-MSR分析步骤 FMEA-MSR同样采用图1所示的七步法，且仅第5、6步与DFMEA不同，下面只针对这两个步骤的分析展开描述。 第5步-风险分析（FMEA-MSR）：分析失效模式发生频率F（也可称为频度），指系统在实际工作时间内产生失效的频率，该频率需要统计数据论证其合理性；分析针对失效起因的现行诊断监视；分析针对诊断到失效模式后的现行系统响应；分析MSR起作用后的失效影响严重度。 第6步-优化（FMEA-MSR）：识别、实施降低风险的必要措施。 FMEA分析示例 如下图所示，假设现有一个用于ADAS系统的ALC（自动车道居中）的ECU（电子控制单元）的系统架构，其主要功能是从Ext_01接口接收外部传感器SPI数据，作为MCU的路径规划决策输入。 图4：ALC的ECU系统架构 （注：该架构仅方便用于FMEA分析，不考虑其内部合理性，不作为真实架构用途） 1、DFMEA的分析示例 以下示例假设其中一个模块（Sys_element01）故障，假设ECU针对Sys_element01故障没有任何诊断监视措施，按照DFMEA的分析步骤展开。 图5：带故障的ECU 1）识别每个模块的功能，例如Sys_element01的主要功能是向MCU传输传感器数据；（DFMEA第3步） 2）识别模块的失效行为，例如Sys_element01故障导致传感器数据错误、延迟、丢失等；（DFMEA第4步） 3）确定传感器数据错误将导致的后果严重程度（得到严重度S评分），例如：该故障发生时导致MCU路径规划错误，影响行车安全，严重度达到S=10；（DFMEA第4步） 4）确定是否存在预防控制措施，例如，该系统架构使用可信的设计方案、使用鲁棒性设计、通过设计评审等；（DFMEA第5步） 5）定在上述预防控制措施之下该模块的故障频度（得到频度O评分），例如：已使用可信设计、鲁棒性设计、设计评审后，故障频度可降至O=2；（DFMEA第5步） 6）确定是否存在探测控制措施，例如，功能测试、故障注入测试、DV测试、量产测试等；（DFMEA第5步） 7）确定上述探测控制措施的探测度（得到探测度D评分）；例如：实施功能测试、故障注入测试、DV测试、量产测试后，探测度可达D=3；（DFMEA第5步） 8）根据S、O、D评分，综合得出措施优先级AP值，AP=L；（DFMEA第5步） 9）必要时，根据AP值，制定进一步的风险降低措施；（DFMEA第6步） 10）文件化将上述分析步骤。（DFMEA第7步） 根据第3)步骤显示，该示例中的ECU是一个安全相关的机电系统，且存在失效模式导致违背功能安全，满足2.1节FMEA-MSR决策流程第4)的条件，在后续的设计优化中必须增加MSR机制。 2、FMEA-MSR的分析示例 本节基于前面1节DFMEA的分析示例的ECU示例，在其基础上增加了MSR机制，优化了该ECU的系统架构，如下图所示。其中绿色模块（安全相关）为分配了ASIL等级的安全需求，灰色模块（非安全相关）开发为QM要素。其中： · Sys_element04开发为安全要素； · 增加Sys_element06用于诊断来自Sys_element01的数据的正确性和一致性； · 增加Sys_element07故障收集和诊断模块； · 增加Sys_element08用于诊断MCU内部失效。 图6：优化后的ECU系统架构（注：该架构仅方便用于FMEA分析，不考虑其内部合理性，不作为真实架构用途） 下面同样假设其中一个模块（Sys_element01）故障，假设ECU针对Sys_element01故障已经采取诊断监视措施，按照FMEA-MSR的分析步骤展开。 图7：带故障的ECU及其诊断路径 1）识别每个模块的功能，例如Sys_element01的主要功能是向MCU传输传感器数据；（FMEA-MSR第3步） 2）识别模块的失效行为；例如：假设Sys_element01（SPI通信模块）故障导致传感器数据错误；（FMEA-MSR第4步） 3）确定传感器数据错误将导致的后果严重程度（得到严重度S评分），例如：该故障发生时导致MCU路径规划错误，影响行车安全，严重度达到S=10；（FMEA-MSR第4步） 4）确定该模块的故障频率（得到频率F评分），例如，这里假设Sys_element01在其使用生命周期内故障发生的概率非常低（实际项目中应结合可靠性预测结果来评估），频率F=3；（FMEA-MSR第5步） 5）确定系统中是否有监控措施（即监视和系统响应，或者称之为安全机制）及其监控能力，例如，该Sys_element01发生故障时，不能通过Sys_element06的校验，由Sys_element07向上级系统发出错误警报（如图7红色曲线路径所示），假设该安全机制的诊断覆盖率为99%，监视则可评定为M=3。在汽车功能安全中，一个非常重要的概念是FTTI（故障容错时间间隔），如下图所示。 图8：功能安全概念中的时间约束 FTTI可以用来衡量安全机制的有效性，它来自车辆层面的安全目标，用于表示车辆部件在某个场景下发生故障直到产生对人身产生危害事件的这段时间间隔。进一步地细分，相关的时间概念还有FDTI（故障检测时间隔离）、FRTI（故障响应时间时间）以及FHTI（故障处理时间间隔）。在设计监视和系统响应机制时需要考虑上述时间约束，确保系统或子系统满足分配其的时间要求：FDTI + FRTI = FHTI < FTTI。（FMEA-MSR第5步） 6）分析在MSR起有效作用后，即系统响应安全机制后失效的严重度；例如，如上述第5)点的监控措施启动后，车辆通知向驾驶员发出接管方向盘的警示，尽管车道偏离可能已经偏离，但在FTTI的时间内驾驶员已经及时接管方向盘并将方向回正（假设驾驶员有能力处理这种情况），此时原先定义的严重度可适当降低到S=6；（FMEA-MSR第5步） 7）根据S、F、M评分，综合得出措施优先级AP值，AP=L；（FMEA-MSR第5步） 8）必要时，根据AP值，制定进一步的风险降低措施；（FMEA-MSR第6步） 9）文件化将上述分析步骤。（DFMEA第7步） 这里需要注意的是，如2.1FMEA-MSR决策流程第4）点所述，对比DFMEA的分析示例： · Sys_element04由于设计变更（由原先的QM要素开发为安全要素），需要更新其先前的DFMEA结果； · 新增Sys_element06~08的三个模块，需要新增它们的DFMEA。 广电计量功能安全服务能力 广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例，能为主机厂、零部件供应商、芯片设计企业提供整机、零部件、半导体、原材料等全面的检测、认证服务，保障产品的可靠性、可用性、可维护性和安全性。 广电计量拥有技术领先的功能安全团队，专注于功能安全（包括工业、轨道、汽车、集成电路等领域）、信息安全和预期功能安全领域的专家，具有丰富的集成电路、零部件和整机功能安全实施经验，可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。 广电计量半导体服务优势 工业和信息化部“面向集成电路、芯片产业的公共服务平台”。 工业和信息化部“面向制造业的传感器等关键元器件创新成果产业化公共服务平台。 国家发展和改革委员会“导航产品板级组件质量检测公共服务平台”。 广东省工业和信息化厅“汽车芯片检测公共服务平台”。 江苏省发展和改革委员会“第三代半导体器件性能测试与材料分析工程研究中心。 上海市科学技术委员会“大规模集成电路分析测试平台”。 在集成电路及SiC领域是技术能力最全面、知名度最高的第三方检测机构之一，已完成MCU、AI芯片、安全芯片等上百个型号的芯片验证，并支持完成多款型号芯片的工程化和量产。 在车规领域拥有AEC-Q及AQG324全套服务能力，获得了近50家车厂的认可，出具近400份AEC-Q及AQG324报告，助力100多款车规元器件量产。

智能网联汽车信息安全 随着信息技术的快速发展和智能化趋势的持续推进，智能网联汽车为人们出行带来了前所未有的便利和智能化体验，但是随之而来的用户隐私泄露和网络攻击等安全问题也敲响了警钟。 信息安全问题已成为制约智能网联汽车发展的一大难题。本期“专家访谈”栏目，邀请到广电计量信息化服务事业部副总经理唐迪博士，为大家解读智能网联汽车信息安全建设面临的挑战及应对思路。 唐 迪 副研究员/博士 毕业于美国密歇根州立大学，博士后，长期从事数据安全、个人信息保护、车联网信息安全等方面的研究和检测评估工作。在国内外期刊会议发表文章三十余篇，主持和参与国际标准、国家标准与行业标准十余项。承担国家重点研发项目、国家自然基金项目等国家、省部级项目十余个。 担任国际标准化组织 ISO/IEC JTC1 SC27信息安全、网络安全及隐私保护技术标准化技术委会JWG 6网联汽车设备安全技术要求与测评活动联合工作组召集人，代表我国担任ISO/IEC JTC1 SC27 安全测评、大数据安全工作组注册技术专家，全国信标委生物特征识别分标委委员，上海市标准化专家 强标即将落地，信息安全管理已成刚需 根据Upstream Security发布的《2022年全球汽车网络安全报告》，全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆，增幅达134%。增长过程中，汽车行业受到的网络攻击规模、频率和复杂程度都在呈指数级增长，影响的范围也有所扩大。 随着汽车信息技术安全风险不断提升，国际和国内持续出台信息技术安全的严格标准、法规以及行业管理规定。目前国外已经实施R155和R156两项关于信息安全和软件升级方面的法规，在欧洲及日韩等国外市场售卖的车辆需要取得相应认证后，才可以在市场进行销售。而ISO/SAE 21434作为覆盖汽车网络安全组织管理、流程管理、生命周期各阶段活动要求等的网络安全工程标准，其涉及的网络安全工程过程文件，是主机厂和供应商开展R155和R156合规认证的重要依据。 2023年5月，中国首个汽车信息安全领域国家强制性标准《 汽车整车信息安全技术要求 》（以下简称“强标”）公开征求意见，对生产企业及车辆产品在信息安全方面提出了具体要求。强标中明确指出“企业开展车辆信息安全一般要求评估和信息安全技术要求测试验证前，应通过汽车信息安全管理体系要求审核”，这一规定为企业搭建信息安全管理体系提供了依据。 为确保企业充分考虑 信息安全风险 ，强标中要求汽车制造商及供应链上下游企业的 信息安全管理体系 中应涵盖必要流程，即要求企业从内部管理流程、风险处置流程、信息安全测试流程、网络安全问题监测和响应流程等角度开展信息安全体系建设，这意味着国家在信息安全方面的监管力度进一步加强。 长远看，汽车网络安全发展将成为必然趋势，即将推出的《汽车整车信息安全技术要求》只是一个开始。随着汽车智能化的发展，有关汽车软件升级、自动驾驶数据记录系统、自动驾驶预期功能安全等相关标准也会不断完善。 可以预见的是，这些强制性标准的推出，会让汽车在开发生命周期中有更高的严格性、更多的功能要求以及更大的投资。 信息安全任重道远，汽车企业如何应对？ 车辆信息安全是长远的工作，网络技术的更新迭代不会停止，给汽车这个传统机械行业的带来的将是全新的挑战。而汽车信息安全的实施并非一蹴而就，建议汽车厂商基于数据安全法律法规要求，尽早采取一系列车联网安全保障与支撑措施，以免造成在业务扩展或者法规层面的被动。 首先在组织治理层面，企业应首先明确产品网络安全职责的定义和设计。这包括在研发设计部门中设立新的职位，例如首席产品网络安全官作为负责人。 信息安全活动需要跨组织的协同，需要与法规、质量、采购、售后市场等部门密切合作和协调。通过这种方式，企业组织各部门共同实施车辆网络安全相关活动以确保合规性。 在汽车产品的开发过程中，企业应将信息安全活动纳入产品开发的全过程，解决从方案确定到生产启动（SOP）的整体开发过程中的安全目标设定、安全要求设计、安全方案设计、安全开发以及安全确认与验证到安全运维等核心环节的问题。这要求在产品开发的不同阶段，与相应的安全要求相匹配，以确保整个开发过程中的信息安全。 在团队规划方面，企业应根据业务发展需求，建设不同专业的网络安全团队。例如，在TARA分析、安全方案设计、安全开发、安全测试、法规导入、安全运维、质量管理等专业领域，应根据企业发展情况，及时构建所需的能力团队。这样，企业可以确保在各个阶段都具备足够的网络安全能力，以保障业务的合规需求和安全需求。 在能力建设方面，为了满足监管要求，企业应根据自身实际情况，分阶段展开能力建设。例如，在产品开发的核心能力建设方面，企业需要建立风险评估、安全目标设计、安全要求设计、安全方案设计的能力。而安全组件的开发及安全验证的能力可以通过委外的方式实现。 此外，企业还应建立安全响应能力，例如具备态势感知监测的能力，建立漏洞管理平台等。这些能力将有助于企业及时应对各种网络安全事件，提高整体安全性。 供应链安全的管理也是重中之重。智能网联汽车的供应链非常长，如果在最后整车装配阶段再考虑信息安全，那么即使发现了信息安全问题也很难定位，在这个阶段发现的问题既有可能是部件的问题，也有可能是零部件之间的连接中存在安全风险。因此，企业需要拆解信息安全合规要求，逐级要求供应商提供的产品，并在每个产品交付前认真履行安全检测与评估。其次，为保障供应商提供的产品能够持续保证安全水平，应要求供应商也执行与企业自身相近的标准化的安全管理流程。 同时，企业也需要密切关注供应链企业持续对智能网联汽车提供的服务安全。智能网联汽车的OTA需求、移动应用的持续服务，有可能成为攻击者攻击的对象、供应商也有可能超范围收集数据，针对供应商及其提供的持续服务，需要构建严格的供应商服务安全管理方法，配置安全产品，也可优先选择通过安全认证的服务和应用。 最后，为了加强项目成果转化，企业应该通过量产项目来萃取知识，建设知识体系并形成成果转化。这意味着企业应该从实际项目中总结经验教训，提取有用的知识和技能，并将其应用于未来的项目中。通过这种方式，企业可以逐步建立起自己的信息安全核心能力，提高整体竞争力，也更从容应对未来时变时新的汽车信息安全技术环境及法规标准。 测试+技术咨询，“一站式”服务助力产品合规 当前，信息安全实施方法还并不完善，选择具有丰富实践经验的合作伙伴能够大幅提升效率、降低成本。针对快速发展的智能网联汽车产业及国内外市场对信息安全的愈发重视，广电计量作为国有第三方计量检测机构，致力于汽车在新四化产业进程中的大安全融合服务，为汽车客户构建了“一站式”智能网联汽车信息安全测评体系。 流程及产品开发咨询服务 我们通过技术咨询协助企业建立相关流程体系，完善开发流程，协助企业获取流程认证。同时我们也可以针对企业要开发的相应产品，提供产品开发的技术咨询（如TARA分析，安全目标制定等），协助企业开发的产品满足相应信息安全要求，并根据需求获取产品认证。 测试服务 广电计量建有汽车信息安全试验实验室，在汽车信息安全方面可以通过符合性测试、功能测试、漏洞扫描、模糊测试、渗透测试等服务。 （1）符合性测试 依据GB/T 40855、GB/T 40856、GB/T40857、GB/T41578 等推荐性国标开展汽车零部件的符合性测试，依据标准逐项开展安全功能测试和验证工作，并出具由国家认可认监委（ CNAS ）认可的检测报告。同时，可依据即将发布GB《汽车整车信息安全技术要求》开展汽车信息安全的型式检验试验。 （2）安全测试 主要基于ISO 21434 产出的Cybersecurity Verification and Validation specification （网络安全验证和确认测试规范），覆盖安全性能测试、资源安全测试、响应安全测试、接口安全测试、控制流和数据流的验证等。一般由企业安全功能开发团队执行验证测试，资源有限情况下委托独立第三方技术机构验证。 （3）漏洞扫描 基于 CVE 、CNVD等最新漏洞库测试是否存在已知漏洞，覆盖静态代码漏洞扫描、固件漏洞扫描、组件 (第三方/开源)漏洞扫描、系统内核漏洞扫描、系统端口漏洞扫描、应用程序漏洞扫描、通信协议 (WiFi、蓝牙等) 漏洞扫描等。 （4）渗透测试 通过模拟真实攻击手法对整车及零部件进行实战检验的过程，目的是进一步发现使用普通安全分析手段无法发现/遗漏的安全隐患，包括通过黑盒、灰盒和白盒方法工作，覆盖硬件安全、系统/固件安全、应用软件安全数据安全、CAN/以太网/无线通信安全管理平台安全等不同类别。 （5）模糊测试 黑客普遍使用的攻击手段，也是对复杂逻辑进行鲁棒性分析的常用方法，且具有发现的错误不存在误报的优势。主要针对接口和协议通过注入随机数据分析未知漏洞。包括硬件接口模糊测试CAN模糊测试、车载以太网模糊测试、DolP模糊测试、开放端口模糊测试、蓝牙模糊测试、WiFi模糊测试GNSS模糊测试、传感器通用电磁信号模糊测试、MEMS传感器超声信号模糊测试等。

Perforce 在支持需要稳定和安全的应用程序方面有着悠久的历史。凭借 50 多年的应用程序开发经验，从客户、趋势和竞争对手那里学到了很多东西。 Perforce 从软件开发的所有领域都采用了最佳实践，并试图将这些实践应用于 Perforce 所做的一切。 Perforce 采用了单元测试、自动化测试、敏捷开发、代码审查、持续集成等等。多年来， Perforce 制定了自己的一套内部发展指南，但 Perforce 一直在寻找改进的方法。 像 MISRA® C++ 这样的指南是识别新检查的宝贵资源， Perforce 可以将其应用于代码以继续使其更好。 MISRA ：增强软件安全性和稳定性 MISRA 起源于汽车行业，在汽车行业中保持高标准的软件开发非常重要。 MISRA 提供了一套适用于任何软件应用程序的全面指南，在确保软件安全性和稳定性方面发挥着至关重要的作用。这些准则包含各个方面，例如避免比较运算符右侧的副作用，以及不执行任何指针算术。虽然开发团队通常有自己的代码审查指南，但 MISRA 的附加 规则集 的加入，这些规则已经经过了广泛地研究并证明其可以提高软件质量，代表了在保护软件完整性和可靠性方面的重大飞跃。 实施和执行 MISRA 标准以改进开发实践 理解并同意 MISRA 等标准是提升团队开发实践的重要开始。然而，这些标准的有效性取决于它们的一致应用和测试。 在持续集成 / 持续交付（ CI/CD ）或质量保证（ QA ）流程中集成 Klocwork 等专用工具以检查特定的 MISRA 要求，是确保遵守既定标准的关键手段。此外，这种类型的过程应扩展到应用程序中的任何第三方 C++ 库，例如 ICU 、 OpenSSL 、 DB Client 库、 mat 库等。通过将 MISRA 标准应用于这些库，可以防止应用程序或 C++ 库中出现的漏洞。在整个开发生命周期中强调和实施 MISRA 指南可以显着提高软件的安全性和稳定性。

高级驾驶员辅助系 统 （ ADAS ） 有助于提高车内每个人的安全性，帮助他们安全到达目的地。 该 技术 非常实用 ，因为大多数严重的车祸都是由于人为错误造成的。 在这里，我们将讨论什么是高级驾驶辅助系统（ ADAS ），提供高级驾驶员辅助系统的示例，以及哪些编码标准对于高级驾驶员辅助系统的开发至关重要。 什么是高级驾驶辅助系统 （ ADAS ）？ 高级驾驶员辅助系统是旨在提高驾驶员及其乘客安全性的技术功能。这些系统使用人机界面，通过预警和自动化系统提高驾驶员的安全性和反应时间。 高级驾驶辅助系统 （ ADAS ） 示例 SAE International ， 前身为汽车工程师协会（ SAE ），定义了 SAE J3016 ，该标准根据提供的自动化水平将 ADAS 分为不同的级别。 一些高级驾驶辅助系统功能已成为汽车的标准配置，包括自动制动系统（ ABS ）和自适应巡航控制（ ACC ）。而其他则可作为附加组件使用，例如自动泊车、盲点监视器和防撞监视器。 此外，还有一些 全自动驾驶汽车 独有 的功能 。 为 什么高级驾驶辅助系统（ ADAS ）对 ADAS 自动驾驶很重要？ 先进的驾驶员辅助系统很重要，因 为根据 美国国家公路交通安全管理局 的数 据 ， 大约 94% 的严重车祸是由于人为错误造成的 。幸运的是，即使是最基本的高级驾驶员辅助系统（如 ABS ）也可以帮助提高车内每个人的安全性。 高期望需要苛刻的要求 在 ABS 、 ESP 或巡航控制等成熟的辅助系统被 默认提供 的情况下，汽车日益复杂的性质使得每个组件都必须保持最高的安全标准。 现在的 车辆不仅需要管理传动系统，还需要管理信息娱乐、网络和连接以及所有安全措施。不幸的是，尽管有些项目彼此非常隔离，但功能不能一个接一个地添加。 车道保持辅助 系统不仅可以检测您的汽车何时开始漂移 ， 它 还 会提醒驾驶员并 尝 试 将汽车保持在车道上。这涉及外部传感器以及用于声音和视觉警告的信息娱乐系统， 还有 用于转动方向盘的动力转向。 自适应巡航控制 涉及传感器，对传动系统有直接影响。 自动紧急制动（ AEB ） 获取传感器信息，然后控制传动系统。 这些只是使用 1 级自动化的示例，其中参数大多是已知和控制的。功能越复杂，其复杂性就越高 - 并且遵循越来越严格的要求，保证其安全性的难度呈指数级增长。 哪些标准对高级驾驶辅助系统 （ ADAS ） 很重要？ 为了使高级驾驶辅助系统安全可靠地运行，需要按照正确的功能安全和 信息安全 标准进行开发。 因此 ， 这 些需要安全可靠的编码标准来执行。 ISO 26262 高级驾驶辅助系统 （ ADAS ） ISO 26262 是一项基于风险的功能安全标准 ， 适用于车辆中的电气和电子系统，包括 高级驾驶辅助系统 （ ADAS ） 组件。该标准概述了汽车设备和系统生命周期每个阶段的具体步骤，以确保 从最早的设计 概念开始 就具备 安全性 。 汽车安全完整性等级（ ASIL ）是 ISO 26262 的关键组成部分，因为它们衡量汽车设备和系统组件的风险水平。设备或系统越复杂，发生系统性或硬件故障的风险就越大。 SOTIF （ ISO 21448 ） 用于高级驾驶辅助系统 SOTIF （ ISO 21448 ） 是一种功能安全标准，提供有关设计、验证和确认措施的指导， 以实现预期功能的安全性 （ SOTIF ）。它考虑了导致非系统故障引起的安全隐患的情况。 它适用于适当的态势感知对安全至关重要的系统，尤其是紧急干预系统（例如紧急制动系统）和 1 级和 2 级高级驾驶员辅助系统（ ADAS ）。 仅考虑其他标准尚未涵盖的故障，并且不适用于动态稳定控制（ DSC ）系统或安全气囊等现有功能。 ISO 21448 是对 ISO 26262 的补充，因为它涵盖了非系统故障引起的故障以及原始设计引起的技术缺陷 导致 的故障。其中一些措施适用于以前功能的更新 迭代 。 这两个标准都对软件提出了要求，可以通过了解有关 ISO 21448 和 ISO 26262 的更 多信息来最好地执行这些要求。 ISO 21434 认证 目前， ISO 21434 正在制定中， 是一项汽车标准，重点关注道路车辆电子系统中的网 络安全风险。该标准将有助于确保将网络安全因素纳入每个汽车设备和产品 的考虑 。 尽 管该标准要到明年某个时候才会发布，但您仍然可以采取一些措施来确保车辆的安全性。 CERT C CERT 是一种安全编码标准，支持 C 、 C++ 和 Java ，所有这些都用于汽车软件开发。 该标准有助于在编写代码时识别和消除软件安全漏洞。 M ISRA MISRA 为开发安全关键系统（包括 C 和 C++ 的汽车软件）提供了编码指南。强烈建议 遵守标准，因为它有助于确保汽车安全可靠。 A UTOSAR AUTOSAR 已经为 C++14 开发了编码标准，用于联网和自动驾驶汽车的 Autosar AP 平台。这有助于确保汽车软件的安全、可靠和可靠。 静态分析如何帮助确保安全可靠的高级驾驶辅助系统 （ ADAS ） 确保高级驾驶辅助系统中的软件安全、可靠和最有效方法是使用静态分析 工具 ，如 Helix QAC 。 静态分析 工具 有助于执行汽车编码指南（如 MISRA 和 AUTOSAR ）， 并经过认证可用于功能安全标准（如 ISO 26262 ）。 通过使用 Helix QAC ，您将应用编码指南来 验证您 的软件是否满足必要的要求。此外， Helix QAC 还可以通过以下方式提高软件质量： 实施编码标准并检测规则 违反 。 在开发早期检测合规性问题。 加快代码审查和手动测试工作。 报告一段时间内和跨产 品版本的合规性。 虽然 Helix QAC 主要由软件开发人员直接使用，以立即反馈其代码质量和合规性（在 Helix QAC GUI 中或直接在 Eclipse ， VSCode 或 Visual Studio 中使用官方插件），但 Helix QAC 也可以集成到已建立的持续集成或持续部署（ CI / CD ）环境中。 可以通过脚本配置 并 运行分析， 方便 部署， 得到的分析 结果 可以 在 Valida t e 平台中 查看 ，以供查看和生成报告。 Valida t e 还带有自己的 API ，使与其他工具的接口 集成更加方便 。 下面是本地 Helix QAC GUI 的示例，其中针对 MISRA C ： 2012 分析的项目允许您快速识别和过滤被视为最关键的问题（在本例中为 MISRA 强制规则）。 在下面 的 另一个示例 中 ，了解如何在 Validate 平台 中报告问题。该问题是交互式的， 例如，可以分配给某人、更改其状态或添加注释（例如，在 出现偏差的情况下很有用）。 随着项目规模扩大到几乎不可能人工管理的地步，必须拥有协同工作的工具，以尽快提供最相关的信息，这样您就可以确认您的项目符合 需求 集。

应用程序安全 （ AppSec ） 对于高效和有效的安全措施至关重要，有助于解决软件应用程序日益严重的安全威胁。在这里，我们将讨论应用程序安全 （ AppSec ） 的原则、实施它的最佳实践以及您应该使用的 AppSec 工具。 什么是应用安全？ AppSec 是在硬件、软件和开发过程中在应用程序级别查找、修复和防止安全漏洞的过程。它包括对应用程序设计和开发以及整个生命周期（包括应用程序启动后）的措施的指导。 具有强大应用程序安全性的组织认识到， AppSec 不是一项单一的技术，而是一个持续的过程，涉及最佳实践和流程，旨在帮助预防和解决应用程序面临的网络威胁。许多组织使用服务和 AppSec 工具来加速应用程序开发，同时减少代码漏洞并防止网络安全风险。 为什么应用安全很重要？ 应用程序安全性很重要，因为软件应用程序中的漏洞很常见 - 据报道， 84% 的安全事件发生在应用程序层。 为什么是应用层？由于应用程序包含重要的公司和用户数据，因此应用程序层是恶意行为者的主要目标。如果黑客能够在合法组织和合法用户之间的交换过程中访问或重定向信息，他们可以使用各种技术并利用漏洞 —— 包括代码注入、访问控制中断、安全错误配置和密码故障 —— 窃取公司数据和资源、登录凭据和其他特权信息。 应用程序安全保护软件应用程序代码免受此类威胁。 AppSec 战略计划包括在软件开发生命周期（ SDLC ）的所有阶段检查应用程序安全性。 通过遵循应用程序安全措施，您可以确保在开发周期的早期识别和处理软件应用程序中的弱点和漏洞，以免它们成为严重的安全漏洞。 应用安全最佳实践 AppSec 最佳实践应从软件开发生命周期的开始启动，并被整个产品团队采用。当整个团队都参与并在整个开发过程中积极测试、识别和修复代码漏洞时，您更有可能防止以后可能出现的安全问题。 把你的 DevSecOps 团队想象成一个管弦乐队，把你的 AppSec 工具想象成你的乐器，把最佳实践想象成排练。你要确保你在正确的音高和时间演奏正确的音符，无缝协调，创造出最终的、响亮的结果。所有这些工具、实践和流程协同工作，以创建应用程序的安全性和功能安全性的更大整体。使用 AppSec 工具和最佳实践，您可以为成功奠定基础。 遵循以下最佳实践以实现高效的软件应用程序安全性： • 建立 应用程序安全风险配置文件 ，以识别潜在的安全漏洞和弱点。 此方法可帮助您评估潜在风险并确定不同类型的应用程序的优先级，以帮助做出最有利于组织的战略安全决策。通过询问有关网络攻击者如何可能进入应用程序并将这些安全点记录到配置文件中的问题，您可以避免在维护评估中重复相同的基础，并加快未来的风险评估。 • 识别并消除软件应用程序中的安全漏洞。在开发应用程序时，对应用程序进行彻底的风险评估将帮助您识别和修复安全漏洞。 • 识别并解决开源和第三方软件中的安全漏洞。 这是一个重要的实践，因为对于应用程序，您只有这么多的控制权。一旦他们在世界上访问并与第三方软件交换数据，您还必须对该软件中的潜在风险进行说明并做好准备。 • 使用正确的应用程序安全工具。 现在，越来越多的数据和资源正在迁移到云中，应用程序开发人员越来越依赖于使用有助于指导安全软件开发的 AppSec 工具。使用正确的 AppSec 工具，您可以快速识别和修复软件中的漏洞，同时确保符合行业编码标准。 • 为您的团队提供应用程序安全培训。 如果您的整个团队都掌握了最新的知识和专有技术来识别应用程序代码中的常见弱点，那么您将在开发过程中更早、更快地发现问题并加速开发。将 AppSec 工具作为培训的一部分也将有助于加快应用程序的上市时间。 采用应用程序安全最佳实践将最大限度地降低风险并保护数据。为了确保您的应用程序安全措施高效且有效，您需要正确的工具。 SAST 和 DAST 都可以保护您的软件免受漏洞的影响，从而使 DevSecOps 过程更容易。以下是每种测试方法的优点： • SAST ：也称为 “ 白盒测试 ” ， SAST 是一种软件安全漏洞测试。该工具会在 您开发 应用程序时分析源代码，以检测和报告可能导致安全漏洞的弱点。通过使用此类工具，可以在开发早期识别安全漏洞。 • DAST ：也称为 “ 黑盒测试 ” ， DAST 是一种软件安全漏洞测试。这种类型的工具在运行时检测指示存在安全漏洞的情况。通过使用这种类型的工具，您可以在开发周期的后期识别安全错误、运行时和与环境相关的问题。 除了用于测试代码的静态分析器之外，还有许多其他工具可以在 本地和云 中测试和保护应用程序和 API ，这些工具可在应用程序的整个 SDLC 中提供 漏洞的可追溯性 。此外，您还可以使用复杂的 移动应用 测试 工具，帮助您像用户一样进行测试，并通过测试失败分析获得快速反馈。 在整个开发工作流程中对应用程序进行 持续的性能测试 使您的团队能够获得高质量的代码，并最大限度地减少可能导致安全问题的错误和漏洞。 应用安全左移安全性 在 SDLC 中左移是许多开发人员实施的原则，用于在开发过程的早期执行诸如测试软件之类的任务，而不是等待过程结束时（或线性开发时间线的 “ 右侧 ” ）。 左移安全性， 或 “ 采用左移方法 ” 进行安全性，意味着在 SDLC 的早期执行安全检查或其他与安全相关的任务。 这种早期方法可帮助应用程序开发人员提高效率，因为他们不会因必须经常切换任务而中断。通过在开发人员脑海中还记得最近编写的代码时获得安全结果，他们可以在当时和那里快速进行更改，而不是等到他们签入代码并持续集成运行分析。 将安全措施应用于应用程序可确保在产品仍处于开发阶段时仍有时间查找和修复漏洞，并提高开发人员对常见漏洞和 AppSec 最佳实践的认识。 应用安全编码标准 安全编码标准是用于识别、预防和消除可能危及软件安全性的软件漏洞的规则和准则。 • CERT ： CERT 是一系列安全编码标准，针对 C ， C++ 和 Java 中可能导致安全风险的不安全编码实践和未定义的行为。 • CWE ：常见弱点枚举 （ CWE ） 列表可识别 C 、 C++ 、 Java 和 C# 中的软件安全漏洞。 • DISA-STIG ： DISA-STIG 是技术软件安全发现的集合。 • OWASP ：开放 Web 应用程序安全 项目（ OWASP ）确定了最大的 Web 应用程序安全风险。最受欢迎的 OWASP 资源是 OWASP Top 10 ，它们是应用程序的 10 个最 关键的安全风险。 • ISO/IEC TS 17961 ： ISO/IEC TS 17961 是 C 语言检测安全漏洞的安全编码标准。 应在开发周期的早期使用 AppSec 工具（如静态代码分析器）来强制实施安全编码标准，以确保对潜在安全漏洞的最佳解决方案。 为什么 Klocwork 和 Helix QAC 是理想的 AppSec 工具 针对 C 、 C++ 、 C# 、 Java 、 JavaScript 、 Python 和 Kotlin 的 Klocwork 静态应用程序安全测试 （ SAST ） 可识别应用程序软件的安全性、安全性和可靠性问题，帮助确保符合安全编码标准。它还使您能够在编写代码时自动执行源代码分析。 此外， Klocwork 的差异 分析 使您能够仅对已更改的文件执行快速增量分析，同时提供与完整项目扫描结果相同的结果。这确保了尽可能短的分析时间。 Klocwork 还为您提供以下好处： • 在开发早期检测代码漏洞、合 规 性问题和违反规则的行为。这有助于加快代码审查以及开发人员的手动测试工作。 • 执行行业和编码标准，包括 CWE 、 CERT 、 OWASP 和 DISA STIG 。 • 报告一段时间内和跨产品版本的合 规 性。 Perforce 的另一个静态分析解决方案 Helix QAC 可以轻松遵守安全编码标准，并在 应用诊断中获得 更少的误报和漏报 。它提供了深度覆盖和风险优先级，以帮助您首先解决最重要的问题，并涵盖安全标准，如 CERT C 、 CWE （包括 CWE Top 25 ）和 ISO/IEC TS 17961 （ C 安全）。 使用验证 指挥您 的应用安全交响曲 Klocwork 和 Helix QAC 的调查结果都可以导入 Perforce 的 Valdate 平台 ，该平台是一个持续的安全和代码合 规 性平台，为所有 Perforce 静态分析产品提供单一管理平台。借助 Validate ，您可以为嵌入式和任务关键型应用程序提供功能安全性、安全性、可靠性和质量保证。 Validate 是一个单一的真相来源，它使您能够看到一组统一的报告，显示更完整的应用程序安全情况。该平台还能够整合来自各种其他工具的发现，将测试数据与静态分析结果一起提取，以识别未覆盖测试路径的代码中的关键缺陷。 正如您的 DevOps 团队就是您的管弦乐队一样，插入 Validate 的工具是单独的乐器，当它们组合在一起时，可以创建一首有凝聚力的交响乐，从而增强应用程序的整体性能和安全性。 ➡️ 申请静态分析 (Helix QAC 、 Klocwork ) 免费试用： info@polelink.com