物联网安全问题_安全是目前物联网最大的问题之一。

物联网安全问题

软件专家AdaCore的Jamie Ayre在2014年纽伦堡嵌入式世界大会上用JAX讨论了古老的语言历史，模块化和物联网。

JAXenter：AdaCore的起源是什么？

Ayre ： AdaCore大约在20年前创建。 它成立于1994年9月。该公司之所以成立是因为一个大学项目，该项目旨在为Ada 95编程语言创建工具集。 该项目本身是由国防部赞助的，后者规定该工具集应尽可能地免费提供给尽可能多的人。

它没有规定开源或免费软件。 这就是我们作为发行许可证提出的，因此人们可以访问该技术，从网络上下载它，基本上使用它并发现该技术而无需付费。 从公司成立之初，我们就一直拥有所谓的公开版本。

除此以外，我们还有一个专业的工具集，其中包含支持，某种类型的许可证，并且每晚都会通过测试套件进行测试。 它基本上是我们的工业开发人员Ada程序员使用的版本。

那Ada的起源又如何呢？ 与Java，C ++等相比，这是一种非常古老的语言，对吗？

七十年代，美国国防部研究了其遗留系统。 事实证明，它的系统中使用了大约200种编程语言或部分编程语言，从可维护性的角度来说，这是一场噩梦。 他们决定找到一种可以满足他们所有需求的编程语言。 他们参加了一场稻草人比赛，提出了三种编程语言建议。 绿色提案获胜。 它由一位法国人让·伊奇比亚（Jean Ichbiah）领导，不幸的是几年前去世了。 它变成了艾达。

没有一个大的编译器市场，所以不幸的是，您有两家或三家公司几乎挤占了这种情况。 国防部去看纽约大学的教授。 他们对他说：您将要编译的编译器–我们希望尽可能多的人可以使用它，因为我们希望人们使用Ada。 因此，该编译器已构建。

接下来发生了什么？

从那以后，Ada逐渐成为一种ISO标准化语言。 他们大约每五到十年就会发布该语言的新版本。 Ada并不是一种易于编程的语言，因为它会在编译之前将程序中的问题推高。 但是，当然，在认真的软件开发中，那是您想要了解问题，错误的时候。 如果您在运行时发现它们，则对其进行修复非常昂贵。

从一开始，Ada就已经成为一种语言，特别适用于绝对需要一定程度的可靠性的系统，这对于任务关键型，安全性关键型和安全性关键型系统而言都是如此。 因此，您在飞机上，火车上发现了很多Ada。 它的可读性也很高，因此，如果您看一下15或20年前编写的代码，您将了解开发人员正在尝试做什么。

Ada社区有多大？

难题。 AdaCore目前拥有450多个活跃客户帐户。 要走到另一端，LinkedIn Ada编程小组有将近2000名。 这肯定是一种利基语言，不是C，不是Java。

Ada如何从开源模型中受益？

从自由软件的角度来看，真正有趣的是，通过开放源代码软件业务模型来了解该技术的使用如何增长。 我的意思是说我们的技术可供下载，供人们试用，玩耍，为之做出贡献，修补这些事实-所有常用的开放软件，开源元素。

可以想像，我们为营销节省了数百万美元。 老实说，如果没有这些工具集的开源特性，Ada编程语言就不会像今天这样流行。 我们在GCC社区中参与了很长时间，因此，当我们发布公开版本时，我们构建的所有资源每年都会分叉一次。 我们构建的几乎所有技术都反馈给社区。

我们当然从GCC社区中受益匪浅，因为其他人为Ada可以使用并使用的其他语言编译器构建了许多功能。 因此，对于我们的工业用途而言，这是一种非常可靠的技术。

那么模块化呢？ 提供了吗？

是。 还有很多其他的特质。 我们在Ada 2012中看到了一些非常有趣的功能。特别是基于合同的编程，这非常好。

今天的AdaCore有多大？

我们现在在全球拥有80名员工，营业额在15到2000万美元之间。 我认为我们可能是欧洲最早的公司之一，从20年前开始就拥有免费软件业务模型。 而且我不确定是否有其他公司拥有这种血统书。

刚开始时是您的计划，还是只是自然而然地发展了？

我认为我们真的很幸运，因为仍然在公司中的公司创始人一直在认真思考着什么是确保他们满足国防部尽可能提供该技术要求的最佳方法。

然后，他们还苦苦思索如何从中赚钱。 实际上，这对于社区来说是非常积极的，因为我们出售的是年度订阅。 因此，在任何时候，我们的任何客户都可以转身说：“停止”。 我们的技术是GPL许可，我们的技术没有任何锁定，因此任何人都可以说：“我不再为该订阅付费，但我将保留您技术的工业版本，而不是再向您支付一分钱”。 因此，我们在开展业务方面必须非常创新。

我们基于以下几点：首先，有一个出色的支持系统。 这些人正在构建的程序，客户在构建的程序以及使用Ada语言的程序通常寿命很长：军事，航空航天，卫星系统，铁路系统–需要一定数量的系统的可靠性，但也有一定的寿命。 这些人看到的是：通过购买我们的年度支持包，他们可以获得某种保险。 如果出现问题，他们可以转向AdaCore并说“帮助我！” 我们会说：“绝对可以。”

另一件事是，这迫使我们必须非常创新。 我们不能只是坐下来说：“对，您去了。 有技术，我们现在要坐了五年，什么也没做。” 我们非常了解，首先，客户没有动力继续订阅以获得该技术的更新。 其次，人们可以根据需要从GCC树中构建源，并添加AdaCore技术不具备的任何功能，从而使其对客户更具吸引力。 因此，我们所做的就是不断创新。 我们每年都会增加大量新功能，以试图促使客户续订年度订阅。

您在阿达（Ada）有任何重要的竞争对手吗？

我想说，我们最大的竞争者之一是我们自己的公开版本[笑]。 在Ada市场中，可能有四分之三的公司提供Ada解决方案。 我们最大的竞争对手是其他编程语言，所以C，C ++之类的东西。

我从未遇到过Ada，这让我感到惊讶。 关于C，C ++，Java等的讨论很多，但关于Ada的讨论却不多。

不，尤其是在这次会议上，很多人都有C或C ++解决方案。 但是我们开始看到的，这对于AdaCore来说很有趣，因为显然我们进行了许多语言推广：越来越多的客户来自非传统市场领域。 在许多嵌入式系统中，软件变得非常重要。

正如人们所说的，这正在吞噬整个世界……

……这就是物联网。 但是它不仅变得越来越重要：它必须起作用。 过去，如果您的手机出现故障，您只需将其打开，摩擦电池，放回去并重新启动即可。 但是，当使用手机呼叫救护车或管理您的银行帐户，或使用手机指导某人时，执行此操作的软件必须有效。

几年前，一个家伙在[嵌入式世界]停下来。 他建立了牛奶厂自动化处理系统。 他告诉我们：“如果我们的系统出现故障，则可能是其中一个瓶子掉了。 如果发生这种情况并且牛奶溅出，则必须关闭工厂的某些区域一周并进行清洁。 那是一百万欧元的练习。”

我们看到越来越多的工业自动化业务。 客户之所以来我们是因为他们需要这种可靠性。 我们最老的客户之一在交易室算法中拥有庞大的实时系统。 当然，如果失败的话，没有人死亡，但是他们将损失大量金钱。

Ada与其他语言的互操作性如何？

我们非常了解，在许多使用Ada的系统中，很大一部分将不是Ada。 这只是其中的关键部分。 举一个具体的例子，当您乘坐飞机飞往纽约并且视频屏幕停滞时，可能是因为它是用Java内置的！

是的...

我的意思是：Ada在多语种情况下效果很好。 我们知道某些部分，可能不太重要，不需要Ada提供的那种可靠性，并且可以用其他语言编写。 实际上，我们有一个可以在其中连接Ada和Java的工具。

很酷。 当前物联网面临的最大挑战是什么？

我认为最大的挑战之一是安全性。 许多将要成为物联网一部分的系统在可靠性，安全性和安全性方面还不够完善。 这是我最大的恐惧。 在许多行业中，软件可以做不可思议的事情。 但是，当您坐下来思考时，您真的想要那个吗？ 以及如何证明该软件将按照它所说的去做？ 例如，无人机产业就是其中之一。 我们可以看到好处，而我不仅在谈论大型军事用途，而且还在谈论亚马逊的用途。 它们可以带来很多好处，但是问题在于这些系统正在公共领空飞行，这不仅意味着它们可以从空中坠落并袭击人员，而且还可以打击在这些公共领空飞行的其他物体。如果该软件不符合要求或至少不能达到某种质量，则可能会非常吓人。 这是可以通过标准或证书解决的问题，还是您认为每个供应商都必须对此有自己的答案？ 我不知道答案。 我要说的是，如果您查看一些需要标准，需要认证的行业，那么那里就有一些非常安全的软件。 如果您查看民用航空电子行业，我仍然不相信由于软件故障而造成的生命损失。 出现了软件问题，请不要误会我，但是从来没有丧命，这在一定程度上要归功于DO-178C民用航空电子软件指南的严格性质。 在铁路行业中有大量的正式验证并非偶然。 这些系统必须正常工作，而且我们已经看到由于系统故障而可能导致的灾难性结果。 随着我们的前进，我们将看到越来越多的自主权被赋予该系统，并逐渐脱离个人。 如果您看一下汽车行业，就会发现这些自泊车的奇妙广告。 当我看到这一点时，我立即想到自己：但是，如果一个小孩跳到身后，会怎样？ 该系统是否已经为此进行了测试？ 毫无疑问，我希望如此，但是是否有证明可以证明该软件至少已经过一定级别的测试，并且可以在某些情况下执行预期的工作？ 开源模型是否符合这些安全要求？

显然，我们已经进行了许多认证项目，并且看到了开源社区的发展。 作为一家公司，我们认为，对于某些软件开发，如果没有强制要求，则应该非常考虑开源社区。 由于各种原因。 我们参与了大型民用航空素子的研究项目。 这些人从构建某些工具的共同努力中受益。 他们参与了一个对构建开源解决方案感兴趣的社区的研究项目。 当然，他们的竞争对手也加入进来，像AdaCore这样的小型公司也加入了进来，但这是社区的整体成果，使社区的每个成员都受益。 您已经了解了GCC对许多公司的影响，而老实说，我相信在未来，这将为许多正在构建安全系统的人们提供帮助。

要获得安全认证，您通常必须举一个软件实例并说：在这种情况下，我可以保证该软件将执行应做的工作。 我已经做过测试以证明是这种情况。 那么，当您要更改平台，要更改流程时，两年后会发生什么？ 如果是开源的，是否没有某些元素可以更轻松地集成硬件并保持整个系统的认证？ 我们相信是的。 这就是所谓的“大冻结”。

第二个问题是安全性。 我们一直认为，很多眼睛可以看到更多的瑕疵。 例如，如果在某些系统中提供了源代码，则许多人可以看到安全破坏的潜在位置。 一个很好的例子是佛罗里达的投票机丑闻。 没有人知道发生了什么事，因为该软件是专有软件，所以您不能进去看看并说：人们可以在此处破坏该软件。

我们开始看到采用工业客户对他们而言在经济上可行，因为这使他们可以真正专注于核心工作。

翻译自: https://jaxenter.com/security-is-one-of-the-biggest-problems-for-the-iot-right-now-107681.html

物联网安全问题