原创 基于信息安全的软测工具链解决方案

2024-4-19 11:57 495 5 4 分类: 汽车电子 文集: 汽车电子

      伴随着汽车与外界的交互手段不断丰富,车联网相关设备、系统间的数据交互更加频繁,万物互联下的网络攻击也逐渐渗透延伸到车联网的领域。汽车行业面临着重大的信息安全挑战。此外,UNECE WP.29 R155和ISO/SAE 21434标准也对汽车的信息安全提出了规范化的要求,旨在产品全生命周期中,分阶段将信息安全威胁导致的风险降低到合理的范围,汽车信息安全不容忽视。

      经纬恒润针对ISO/SAE 21434、WP.29 R155等进行了深入研究,结合多年功能安全、信息安全经验,为客户提供关键产品的信息安全测试解决方案。本文特别推出基于信息安全的软测工具链解决方案,为客户在信息安全方向实现自动化测试提供优选。


平台化信息安全测试解决方案之信息安全平台实施

      ISO/SAE 21434按照产品全生命周期的顺序,定义了概念设计、研发、验证、生产、运维以及报废等各阶段对于车辆信息安全的要求。Cybellum面向信息安全的测试与管理平台,可以在各个阶段对产品进行安全风险检测与评估,从SBOM到漏洞管理、合规性验证和持续风险监控,可以确保产品长期安全。此外,它还有丰富的API接口,支持与多种平台的集成,实现流程化的检测。

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).图1-1 Cybellum信息安全平台介绍.jpg

图1 Cybellum信息安全平台介绍


      WP.29 R155标准中要求供应商进行CSMS(信息安全管理体系要求)与VTA(车辆形式要求)认证,车辆才可以销往欧盟等海外国家。Cybellum可以提供CSMS活动的完全覆盖,贯穿到整个产品生命周期中,其中包括:

  • Asset Management
  • Concept & Design
  • TARA
  • SBOM
  • Licensing Compliance
  • Vulnerability Management
  • Security Testing
  • Threat Monitoring
  • Incident Response
  • Governance & Compliance

      该平台为客户提供了“自动化CSMS”的独特能力,如下图,通过Cyber Digital Twins核心技术,实现自动化SBOM创建,许可合规、安全评估和事件响应等。

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).图1-2 CSMS活动.jpg

图2:CSMS活动


源码级信息安全测试解决方案之静态分析

      在ISO/SAE 21434中,RC-10-20中要求针对信息安全,使用合适的建模、设计或编程语言的标准,如果该语言本身没有充分解决安全问题,则应由编码指南或开发环境涵盖。

      下图展示了ISO/SAE 21434对静态测试的要求,适用于信息安全的设计、建模和编程语言标准可包括使用语言子集;强制使用强类型;防御性编程技术,Helix QAC工具均可以实现检测。

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).03.jpg

图3:ISO/SAE 21434对静态测试的要求


  • Helix QAC支持行业内常用的规则包,如MISRA C、MISRA C++、AUTOSRA C++、CERT、CWE 等,用户可以根据需要选择所需的规则包,并可在规则包的基础上添加额外的规则,或进行精简。
  • Helix QAC中内置了上千条规则,其中包含相关规则,对隐式类型转换进行相关警告,以确保强数据类型的使用。
  • Helix QAC会强调应该限制语言使用的领域,以避免不可预见的问题和减少潜在的错误,从而确保开发者使用防御性编程技术。

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).04.jpg

图4:源码级信息安全测试解决方案之静态分析


源码级信息安全测试解决方案之单元/集成测试

      在ISO/SAE 21434中,在单元/集成测试方面对测试用例设计方法以及覆盖度做了相应的要求。

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).05.jpg

图5:ISO/SAE 21434中对测试用例设计方法的要求


  • Tessy内置需求管理组件,可以将软件需求与测试用例进行链接,从而验证任何需求都至少有一个分配到它的测试用例。
  • 通过分类树编辑器(CTE),Tessy可以辅助用户快速理清等价类划分思路,以及灵活地设置数据边界值,从而自动化生成满足CAL要求的测试用例,降低用例冗余度,提高测试效率。

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).06.jpg

图6: ISO/SAE 21434中对覆盖度的要求


  • Tessy可以计算ISO/SAE 21434标准中要求的各种覆盖度:语句覆盖、分支覆盖、函数覆盖、调用覆盖,而且Tessy也支持ISO/SAE 26262中要求的MC/DC覆盖。
  • Tessy支持自动分析代码并绘制函数流程图,以图形化方式显示测试覆盖情况,帮助用户提高测试覆盖度。

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).07.jpg

图7:源码级信息安全测试解决方案之单元/集成测试


      经纬恒润提供汽车信息安全解决方案,旨在借助产品安全平台以及服务,帮助国内汽车OEM及其供应商能够在汽车软件开发全生命周期内大规模评估和降低安全风险,保证产品安全。

  • 产品级信息安全测试服务

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).08.jpg


  • 源码级信息安全测试服务

C:.Users.bingbing.xu.Desktop.新建文件夹 (3).09.jpg


      了解更多:请致电 010-64840808转6117或发邮件至market_dept@hirain.com(联系时请说明来自面包房社区)

作者: 经纬恒润, 来源:面包板社区

链接: https://mbb.eet-china.com/blog/uid-me-3882431.html

版权声明:本文为博主原创,未经本人允许,禁止转载!

文章评论1条评论)

登录后参与讨论

开发工匠 2024-4-20 11:57

写的好,学习和参考
相关推荐阅读
经纬恒润 2024-05-20 16:12
经纬恒润第三代重载自动驾驶平板车
        随着无人驾驶在封闭场地和干线道路场景的加速落地,港口作为无人化运营的先行者,其场景的复杂度、特殊性对无人化运营的技术提出了各种挑战。经纬恒润作为...
经纬恒润 2024-04-26 18:15
如何从0到1设计诊断系统
引言       在整车电子电气体系中,诊断系统的设计扮演着至关重要的角色,负责支持整车的刷写、故障排查和EOL(End of Line)等关键操作。这一重要性...
经纬恒润 2024-04-22 16:16
网络安全数字孪生:一种新颖的汽车软件解决方案
摘要      随着汽车行业转变为数据驱动的业务,软件在车辆的开发和维护中发挥了核心作用。随着软件数量的增加,相应的网络安全风险、责任和监管也随之增加,传统方法变得不再适...
经纬恒润 2024-04-12 16:17
CANXL标准发布,一文读懂CANXL数据链路层总线,通信再进化!
       2024年3月22日,期待已久的ISO 11898-2:2024版本横空出世,标志着新一代CAN总线的时代即将到来(ISO/FDIS 11898-...
EE直播间
更多
我要评论
1
5
1
2
3
4
5
6
7
8
9
0
关闭 站长推荐上一条 /1 下一条