首页 > 其他分享 >基于信息安全的软测工具链解决方案

基于信息安全的软测工具链解决方案

时间:2024-04-19 13:33:26浏览次数:31  
标签:21434 软测 解决方案 信息安全 SAE ISO 测试

      伴随着汽车与外界的交互手段不断丰富,车联网相关设备、系统间的数据交互更加频繁,万物互联下的网络攻击也逐渐渗透延伸到车联网的领域。汽车行业面临着重大的信息安全挑战。此外,UNECE WP.29 R155和ISO/SAE 21434标准也对汽车的信息安全提出了规范化的要求,旨在产品全生命周期中,分阶段将信息安全威胁导致的风险降低到合理的范围,汽车信息安全不容忽视。

      经纬恒润针对ISO/SAE 21434、WP.29 R155等进行了深入研究,结合多年功能安全、信息安全经验,为客户提供关键产品的信息安全测试解决方案。本文特别推出基于信息安全的软测工具链解决方案,为客户在信息安全方向实现自动化测试提供优选。

平台化信息安全测试解决方案之信息安全平台实施

      ISO/SAE 21434按照产品全生命周期的顺序,定义了概念设计、研发、验证、生产、运维以及报废等各阶段对于车辆信息安全的要求。Cybellum面向信息安全的测试与管理平台,可以在各个阶段对产品进行安全风险检测与评估,从SBOM到漏洞管理、合规性验证和持续风险监控,可以确保产品长期安全。此外,它还有丰富的API接口,支持与多种平台的集成,实现流程化的检测。

图1 Cybellum信息安全平台介绍

      WP.29 R155标准中要求供应商进行CSMS(信息安全管理体系要求)与VTA(车辆形式要求)认证,车辆才可以销往欧盟等海外国家。Cybellum可以提供CSMS活动的完全覆盖,贯穿到整个产品生命周期中,其中包括:

  • Asset Management
  • Concept & Design
  • TARA
  • SBOM
  • Licensing Compliance
  • Vulnerability Management
  • Security Testing
  • Threat Monitoring
  • Incident Response
  • Governance & Compliance

       该平台为客户提供了“自动化CSMS”的独特能力,如下图,通过Cyber Digital Twins核心技术,实现自动化SBOM创建,许可合规、安全评估和事件响应等。

图2:CSMS活动

源码级信息安全测试解决方案之静态分析

      在ISO/SAE 21434中,RC-10-20中要求针对信息安全,使用合适的建模、设计或编程语言的标准,如果该语言本身没有充分解决安全问题,则应由编码指南或开发环境涵盖。

      下图展示了ISO/SAE 21434对静态测试的要求,适用于信息安全的设计、建模和编程语言标准可包括使用语言子集;强制使用强类型;防御性编程技术,Helix QAC工具均可以实现检测。

图3:ISO/SAE 21434对静态测试的要求

  • Helix QAC支持行业内常用的规则包,如MISRA C、MISRA C++、AUTOSRA C++、CERT、CWE 等,用户可以根据需要选择所需的规则包,并可在规则包的基础上添加额外的规则,或进行精简。
  • Helix QAC中内置了上千条规则,其中包含相关规则,对隐式类型转换进行相关警告,以确保强数据类型的使用。
  • Helix QAC会强调应该限制语言使用的领域,以避免不可预见的问题和减少潜在的错误,从而确保开发者使用防御性编程技术。

 

图4:源码级信息安全测试解决方案之静态分析

源码级信息安全测试解决方案之单元/集成测试

      在ISO/SAE 21434中,在单元/集成测试方面对测试用例设计方法以及覆盖度做了相应的要求。

图5:ISO/SAE 21434中对测试用例设计方法的要求

  • Tessy内置需求管理组件,可以将软件需求与测试用例进行链接,从而验证任何需求都至少有一个分配到它的测试用例。
  • 通过分类树编辑器(CTE),Tessy可以辅助用户快速理清等价类划分思路,以及灵活地设置数据边界值,从而自动化生成满足CAL要求的测试用例,降低用例冗余度,提高测试效率。

图6: ISO/SAE 21434中对覆盖度的要求

  • Tessy可以计算ISO/SAE 21434标准中要求的各种覆盖度:语句覆盖、分支覆盖、函数覆盖、调用覆盖,而且Tessy也支持ISO/SAE 26262中要求的MC/DC覆盖。
  • Tessy支持自动分析代码并绘制函数流程图,以图形化方式显示测试覆盖情况,帮助用户提高测试覆盖度。

图7:源码级信息安全测试解决方案之单元/集成测试

       经纬恒润提供汽车信息安全解决方案,旨在借助产品安全平台以及服务,帮助国内汽车OEM及其供应商能够在汽车软件开发全生命周期内大规模评估和降低安全风险,保证产品安全。

  • 产品级信息安全测试服务

 

  • 源码级信息安全测试服务

 

      了解更多:请致电 010-64840808转6116或发邮件至[email protected](联系时请说明来自博客园)

 

 

标签:21434,软测,解决方案,信息安全,SAE,ISO,测试
From: https://www.cnblogs.com/hirain123/p/18145714

相关文章

  • NVIDIA驱动失效简单解决方案:NVIDIA-SMI has failed because it couldn‘t communicate
    NVIDIA驱动失效简单解决方案:NVIDIA-SMIhasfailedbecauseitcouldn‘tcommunicatewiththeNVIDIAdriver.问题:准备用GPU跑模型时,提示cuda不存在第一步,打开终端,输入:vidia-smi1|NVIDIA-SMIhasfailedbecauseitcouldn'tcommunicatewiththeNVIDIAdriver.2|Make......
  • TapData 正式上线 MongoDB 生态合作伙伴专栏,提供更专业的企业级实时数据集成解决方案
    近日,MongoDB官方正式将TapData加入MongoDB生态合作伙伴名录专栏,该项目旨在帮助用户发现MongoDB合作伙伴提供的优质集成和解决方案,本次入选的100+名单便筛选自数千家合作企业。此次合作达成,标志着TapData在现代应用数据集成领域的产品能力和稳定性已获得行业的广泛认可......
  • 指夹式血氧仪解决方案研发
    指夹式血氧仪主要由传感器和显示屏两大核心部分组成。传感器设计精巧,通常呈现为一个夹子形状,方便用户将其轻松夹在手指上。当传感器夹在手指上时,它会发出两种不同波长的光,即红光和红外光。这两种光均具有穿透皮肤的能力,并能够被血液中的血红蛋白吸收。通过这一工作原理,指夹式......
  • Unity Android 打包报错解决方案记录
    1.安卓版本过低报错提示PickedupJAVA_TOOL_OPTIONS:-Dfile.encoding=UTF-8D:\Develop\Unity\HRVTest\Library\Bee\Android\Prj\Mono2x\Gradle\unityLibrary\src\main\java\com\unity\androidnotifications\UnityNotificationManager.java:164:错误:找不到符号......
  • 智能调度_AIRIOT智能车队管理解决方案
    客运、货运、汽车租赁、出租运营等行业对车辆管理、车队管理以及司乘人员的管理方式,逐渐向数字化和智能化转型。传统的依赖人工调度、记录和跟踪的管理模式已经难以满足业务发展需要,存在如下痛点:实时监控与定位功能弱:无法实时获取车辆的位置信息、行驶速度、方向、里程等动态数......
  • 六芒兔车载摄像头行业MES解决方案
    六芒兔车载摄像头行业MES解决方案,涵盖了生产计划管理、序列号管理、PLC性能检查数据采集、高低温测试数据采集、无纸化作业手册、设备状态监控以及打包入库管理等多个关键环节。以下是对这些环节的详细阐述: 一、生产计划管理六芒兔MES系统通过整合销售订单、库存信息、设备状......
  • SAP ERP出海解决方案提供商【工博科技】,为中国企业“出海”护航
    当今高质量发展成为主题,中国企业正积极将创新成果、产品、服务“走出去”。然而出海企业面临着充满不确定性的国际环境带来的风险管控挑战和全球化经营带来的竞争挑战,必须要不断提升风险管控能力和综合竞争实力。其中,成熟的数字化能力可以在保护企业数字安全的同时提供发展的技术......
  • Got socket error trying to find package flutter_lints at https://pub.dev Flutter
    最近想继续玩下Flutter,发现pub.dev居然被封锁了,试了下网上的方案,都不可行,尝试组合了一下,用下面的方案解决了。第一步:找到这个文件D:\flutter\packages\flutter_tools\lib\src\http_host_validator.dart把下面的地址修改为:constStringkPubDev='https://pub-web.flutter-io......
  • IDEA2023版本创建Spring项目只能勾选17和21却无法使用Java8的完美解决方案
    参考:https://www.jb51.net/program/308256k4b.htm方案一:替换创建项目的源我们只知道IDEA页面创建Spring项目,其实是访问springinitializr去创建项目。故我们可以通过阿里云国服去间接创建Spring项目。将https://start.spring.io/或者http://start.springboot.io/替换为https://......
  • 视频质量AI智能分析诊断系统解决方案建设思路与设计
    一、建设背景随着安防视频覆盖日趋完善,视频在安全管理等方面发挥了不可替代的作用,但在使用过程中仍然存在视频掉线、视频人为遮挡、视频录像存储时长不足等问题,存在较大的安全隐患。1)视频在安全生产管理上作用日趋凸显,视频质量需长期保障受环境、老化、网络、供电、人为等多方......