车辆网络安全的未来(中):安全编码、安全测试及安全生产

VIP文章 于 2023-01-28 17:11:29 发布
阅读量255 收藏 3
点赞数
分类专栏: 汽车信息安全 文章标签: 安全 web安全 网络 自动驾驶 汽车
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NewCarRen/article/details/128779393
版权

《车辆网络安全的未来》专题连载共分为“上、中、下”三个部分。上一篇文章:车辆网络安全的未来(上):车辆开发中的威胁分析、风险评估和安全设计、漏洞分析,此文为该连载系列的“中”部分,在上部分中我们已经了解了车辆开发中的威胁分析、风险评估和安全设计、漏洞分析等具体方法内容。那么,在本文中我们将针对车辆开发中实施安全编码的要点与安全测试及制造阶段的安全措施进行分析。

5、车辆开发中实施安全编码的要点

根据概念阶段的威胁和风险评估、开发阶段的安全设计、漏洞分析和措施实施活动所产生的设计文档,考察软件实施阶段应执行的“安全编码”。

安全编码是指“编写能够抵御网络攻击的强大程序”。在该专题连载的“上部分”的第4章的最后,我们讨论了“设计阶段的漏洞”和“实现阶段的漏洞”,安全编码是一种解决“实现阶段的漏洞”的措施。

这是“产品开发阶段”中“软件级”最具体的活动,“软件级”是该专题“上部分”第1章图表1所示的ISO/SAE 21434的七个要素之一。

安全编码的重要性

安全编码之所以如此重要,是因为即使您对“设计阶段的漏洞”采取了措施,但由于安全编码不完善而导致的“实施阶段的漏洞”可能会导致严重的损害。例如,缓冲区溢出和SQL注入等漏洞可能导致第三方执行非预期的代码,这是“实现过程中出现的漏洞”的典型示例。

此外,作为软件整体的漏洞,与“设计阶段发生的漏洞”相比,“实施阶段发生的漏洞”被报告得更多,从漏洞的“数量”的角度来看也是很重要的。

安全编码的具

最低0.47元/天 解锁文章
NewCarRen
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
静态代码扫描工具TscanCode.zip
07-18
TscanCode是一款静态代码扫描工具,TscanCode旨在助力开发与测试人员从代码层面挖掘问题,将那些长期困扰项目的诸如空指针宕机等问题,扼杀于萌芽阶段。支持用户根据不同需求自定义配置检查项,有极强的扩展性和可维护性。平均扫描速度10W行/分钟。TscanCode支持以下类型规则扫描:应用特性空指针检查,包含可疑的空指针,判空后解引用比如Crash等共3类subid检查数据越界,Sprintf_S越界共1类subid检查内存泄漏,分配和释放不匹配同1类subid检查逻辑错误,重复的代码分支,bool类型和INT进行比较,表达式永远True或者false等共18类检查可疑代码检查,if判断含有可疑的=号,自由变量返回局部变量等共计15类检查运算错误,判断无符号数小于0,对bool类型进行 自增等,共计11类检查 标签:TscanCode
关于ECU测试
weixin_44595651的博客
01-22 4972
一、测试的阶段 嵌入式软件测试通过开发V流程可以看出,开发过程一直由测试伴随,而测试主要经历单元测试----集成测试----系统测试-----验收测试,其回归测试伴随在其。 二、测试阶段概述 单元测试:针对ECU测试,个人认为可分为静态测试以及动态测试,其静态测试:针对功能、性能以及接口等进行静态分析。-----一般能应用到的测试工具有哪些?目前只是做了一些代码的合理性检查。 动态测试:运用...
渗透测试的8个步骤—转载
热门推荐
花米徐xl_lx的专栏
10-31 6万+
渗透测试的8个步骤 展现一次完整的渗透测试过程及思路 发布时间:2017年10月25日 15:11    浏览量:1104  渗透测试这个事情不是随便拿个工具就可以做了, 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说 渗透测试 的流程及渗透测试相关概念。 渗透测试流程 渗透测试与入侵的最大区别 渗透测
静态代码扫描教程
花不掉泪的博客
07-28 6222
静态代码扫描教程,Sonarqube(Sonar),lint介绍,压缩apk,减少 apk 体积
安全测试-优秀测试工程师必备的4项安全测试方法!
weixin_34417814的博客
04-30 5315
用您5分钟时间阅读完,希望能对您有帮助! 一.安全测试 1、安全测试方法 测试手段可以进行安全测试,目前主要安全测试方法有:    1)静态的代码安全测试 主要通过对源代码进行安全扫描,根据程序数据流、控制流、语义等信息与其特有软件安全规则库进行匹对,从找出代码潜在的安全漏洞。 静态的源代码安全测试是非常有用的方法,它可以在编码阶段找出所...
汽车网络安全渗透测试
Trinity_Techologies的博客
02-14 4847
有效的网络安全要求在汽车自身及其组件的生命周期采用系统化的流程,尤其是在后期由于法律的缘由而必须证明这一有效性时,在前期确保流程的系统化就更加至关重要。本文努力为具体的误用案例以及如何进行相应的验证提供指导。事实证明,GBPT比传统的验证方案更有效率和效果。此外,工程师的心态也必须改变,除了要关注安全功能,更要关注安全设计和验证。企业IT部门多年前就意识到采取一些隔离机制,比如将功能分布在专属子系统、组件级的保护、组件间的网关和防火墙、关键功能的验证等是不够的,以攻击者的视角进行智能测试同样不可或缺。
android静态代码扫描,Android 静态代码扫描流程及工具说明
weixin_35578748的博客
05-26 1583
1. 静态扫描流程1.1 版本发布流程大致分为5个阶段,静态代码扫描的工作在第3步进行,如图:版本发布流程图1.2 典型案例分析[空指针]空指针引用[内存泄露]Stream资源关闭[性能]使用indexOf(字符)[兼容]系统API兼容性隐患[越界]数组下标越界隐患[异常] 使用除法或求余没有判断分母长度隐患[SQL]注入风险[应用安全] AndroidMannifest.xml文件allowB...
静态代码扫描的原理
SourceBrella的博客
01-15 3573
静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,静态代码扫描在整个安全开发的流程起着十分关键的作用,且实施这件事情的时间点需要尽量前移,因为扫描的节点左移能够大幅...
三款主流静态源代码安全检测工具比较
whatday的专栏
01-07 6万+
静态源代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而
静态代码扫描
秀才的专栏
12-15 1377
【程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术】-百度 源代码静态分析实现原理不同,总的来说分为两种。一种是分析源代码编译后的间文件(如sonar分析字节码),一种是分析源文件。分析字节码一般来说无法发现跨文件的
2-CANoeDiVa - 如何在大多数测试用例失败的ecu上执行故障分析
08-26
How to Perform Fault Analysis on ECUs where the Majority of Test Cases Fail 如何在大多数测试用例失败的ecu上执行故障分析
java安全编码指南之:线程安全规则
01-27
如果我们在多线程引入了共享变量,那么我们就需要考虑一下多线程下线程安全的问题了。那么我们在编写代码的过程,需要注意哪些线程安全的问题呢?一起来看看吧。大家都做过方法重写,我们知道方法重写是不会检查...
编码技术在计算机网络安全的应用研究.pdf
09-20
编码技术在计算机网络安全的应用研究.pdf
密码编码学与网络安全 在线部分
01-03
密码编码学与网络安全 在线部分。 密码编码学与网络安全的在线部分资料,内容有两百多页,是原课本后面的补充内容,供读者参考阅读。 密码学。网络安全
安全的物理层网络编码的研究
01-20
无线信道的广播特性使得其的碰撞现象普遍存在,充分利用这一特性的物理层网络编码可较大幅度地提高系统吞吐量,但也存在其特有的安全隐患。本文的主要贡献:从物理层网络编码的原理出发,挖掘了其存在的必要前提...
信息安全与渗透测试,密码编码,爬虫,数据安全网络安全,Web 安全.zip
最新发布
04-23
信息安全与渗透测试,密码编码,爬虫,数据安全网络安全,Web 安全.zip
浅析静态应用安全测试
华为云官方博客
12-15 674
根据Forrester的 The State Of Application Security, 2022一文的预测,应用安全性的缺失将仍然是最常见的外部攻击方式,因此SAST将会在可预见的未来一直被重视。
Fortify 17.10进行源代码安全扫描的方法
tyu1853的博客
01-08 3451
Fortify是一款功能强大的源代码安全审计工具,可以进行静态代码扫描来发现源代码安全问题。 本文介绍一下如何使用Fortify 17.10进行源代码扫描。 【环境准备】 系统版本:win10版本 [10.0.17134.706] 软件版本:Fortify 17.10 【软件下载地址】 下载地址:安装包下载 license下载地址:license下载 【扫描...
静态代码安全扫描工具Cobra
frog4的专栏
01-21 4089
静态代码安全扫描工具Cobra 业务大了,代码多了,自然公司就有了代码审计的需求,因此需要找一款代码审计的工具软件。 眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码存在的安全隐患或者漏洞。 GITHUB:https://github.com/WhaleShark-Team/cobra 文档:http://cobra.feei.cn/ 其主要原理是利用函数定位及正则表...
密码编码学与网络安全 csdn
09-30
网络安全是一个复杂的领域,需要综合考虑密码编码学、网络协议、访问控制、恶意软件防护、物理安全等方面的知识和技术。密码编码学为网络安全提供了基础和保障,它的应用可以有效地防止数据被窃取、篡改和破坏,保障...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值