【自动化测试工具】
CI服务器上会自动down svn代码 ,PCLint等静态代码扫描,有静态代码扫描问题和编译问题时,自动报红,以及测试,以及如下我提到的各种工具,其实都是可以集成到你的自动化服务中的;
甚至是动态的运行环境,运行,通过日志中错误级别的扫描和单板重启的检测,也可以实时发现漏洞
自动化才是质量的生命之道
我们项目组的做法:除了CCTray等编译工具,有人做了脚本放一个大屏幕显示,实时提醒你,第一时间坚决。
一次做对
越早修改成本越低
秉承以上规律,当你第一次查看这些扫描报告的时候,会惊奇的发现,我们好多的代码漏洞和疏忽问题,都是可以通过这种静态的方式进行避免的。
-----------------------------------------------------------
我们在嵌入式设备上做了一些东西
NTP V3/ Time Protocol RFC868 时间同步协议
SNMP 简单网管协议
SMTP & ESMTP 简单邮件协议 和 扩展邮件协议
MODBUS
CAN
协议参考:datatracker.ietf.org 【RFC文档网站】
-------------------------------------------------------------
【关于编码规范扫描工具】
我们使用的是Goahead作为嵌入式设备的server实现,有CGI,支持SSL 安全做的也很不错
我们TR5转迭代的时候,一般需要做如下扫描
1. AppScan (主要扫描网络webserver的安全漏洞,长url,非法字符值提交等)
2. Nessus
3. Nmap
4.xDefend
静态扫描工具
1. Coverity
2. Fortify
3. PCLint
-------------------------------------------------------------
待完善...