Perforce白皮书:解读ISO26262、ISO 21434、MISRA等功能安全标准,分享SAST工具如Helix QAC和Klocwork如何帮助确保代码质量、安全性和合规性

于 2024-07-15 17:38:20 发布
阅读量211 收藏 12
点赞数 10
文章标签: 运维 代码规范 汽车 软件需求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49715102/article/details/140444807
版权

电动汽车(EV)领域的初创企业正迅速崛起,创新速度显著加快。然而,随着消费者对电动汽车需求的激增,老牌汽车制造商正加速进军这一市场,加剧了行业竞争。为在竞争中生存并发展,电动汽车初创企业必须持续加速创新,不断推出新车型,并争取率先进入市场,以抢占关键的市场份额。

为助力电动汽车初创企业深入理解市场现状并加速市场进入步伐,Perforce发布了《加速进入市场:电动汽车初创公司如何降低软件开发中的风险和成本》白皮书,针对初创企业在软件开发过程中面临的风险与成本挑战,提供了切实可行的解决方案,并且分享编码标准和指南,帮助遵守电动汽车的功能安全和功能网络安全标准。

龙智作为Perforce中国授权合作伙伴,近期将此白皮书进行翻译整理,并以系列文章的形式陆续发布,帮助客户在开发汽车软件时,可以满足不断变化的安全和合规标准,在激烈的电动汽车市场中保持竞争力。

点击阅读Perforce白皮书Part1:电动汽车初创企业如何降低软件开发中的风险和成本?

满足合规背后的秘密

电动汽车本质上是装有软件平台的车辆。虽然汽车开发团队一直都在遵守行业标准和政府法规,但自动驾驶汽车和网络安全风险日益增加的压力,要求汽车制造商超前于立法者,以确保消费者的声誉不受影响。

所有制造商都必须遵守功能安全和功能网络安全标准。

ISO 26262

ISO 26262标准专注于减少由于不希望发生的软件和硬件行为对车辆乘员造成的危害,该标准规定了基于风险分类系统(汽车安全完整性等级- ASIL)的功能安全流程,并要求对表明合规性的开发工件进行验证。ISO 26262是对IEC 61508(电气和/或电子 (E/E) 系统的通用功能安全标准)的改编。

ISO 21434

ISO 21434是一项侧重于道路车辆电子系统的网络安全风险管理的汽车标准。它要求制造商和供应商在实施网络安全工程和在整个供应链中应用网络安全管理方面尽职尽责。

功能安全和功能合规标准都要求符合编码标准,如MISRA、AUTOSAR C++14或CERT。

MISRA

MISRA由制造商、组件供应商和工程咨询公司开发和维护,提供C和C++ 编码指南,确保代码安全、可靠和可移植。

AUTOSAR

AUTOSAR 是一个开放的标准化软件架构,由全球汽车制造商、供应商、工具供应商和芯片供应商共同维护。它将动力总成、底盘控制和乘员安全等不同系统的应用接口标准化,以简化原始设备制造商(OEM)和一级供应商之间的ECU 软件开发协调工作。

AUTOSAR C++14编码指南基于MISRA C++2008标准,规定了在安全关键型汽车环境中使用C++14的规则。

CERT

CERT编码标准是由软件开发和软件安全专业人员社区制定的特定语言准则。支持C、C++和Java,每项准则都包括风险评估,以帮助确定违反特定规则或建议可能产生的后果。

图2:汽车开发专业人员最关注的安全问题;来源:State of Automotive Software Development

有效符合标准的秘诀在于当今的技术。使用自动化合规工具(如静态分析器)可确保代码安全、可靠,而无需耗费昂贵的开发时间。

对于缺乏标准经验和软件资源的电动汽车初创公司,自动化工具可以帮助满足以下标准:

  1. 符合编码标准:识别违反安全和合规标准中规则和指南的行为。
  2. 符合规范覆盖范围:满足ISO26262代码覆盖要求,如语句、分支和MC/DC。
  3. 问题优先级排序:为避免浪费时间或开发人员“问题疲劳”,能够根据风险严重程度对发现的问题进行优先排序,有助于集中精力开展工作。
  4. 独立认证:为减少认证工作量,工具必须由公认的行业权威机构认证并符合标准。
  5. DevOps准备:能够融入现有的CI/CD流水线,以最大限度地减少管理费用和发布时间。

现在就确定您的电动汽车软件开发工具链

电动汽车初创企业可以通过部署支持自动化、合规性和DevOps的标准化专用软件工具链,以降低成本并更快地进入市场。典型的降低风险组件包括静态分析(SA)和静态应用安全测试(SAST)工具,这些工具可集成到现有的源代码管理和持续集成框架中。

减少开发人员的参与是降低资金消耗速度和快速成功投放市场的关键。

Perforce的SA和SAST工具,如Helix QAC和Klocwork,通过精确的分析器,确保代码质量、可靠性、安全性和保密性的持续合规,从而轻松高效地进行电动汽车软件开发。从概念验证到新车型的移植,Perforce Helix QAC和Klocwork可助力保持较高的开发速度并降低市场风险。

电动汽车初创企业进入市场的一个关键因素是能够按需证明合规性。通过桌面反馈、差异分析、风险优先级仪表板等功能,以及对持续集成、DevOps和DevSecOps流程的支持,Helix QACKlocwork在生命周期的最初阶段就提出代码变更的潜在问题,相比于在开发下游阶段,更便宜、也更快速地消除发布风险,同时通过了TÜV SÜD的独立认证。

加速进入市场,从Helix QAC和Klocwork开始

在压力时期进行技术投资,是电动汽车初创企业为未来成功定位的方式。要减少软件开发过程中的成长之痛,首先要专注于最大的挑战:自动化代码质量、安全性和合规性,以加快盈利并更快地推向市场。

为帮助克服电动汽车制造商所面临的经济和监管挑战,Helix QACKlocwork将标准和代码合规性验证嵌入到每一个电动汽车软件开发人员的桌面上。结合代码编写时的即时反馈,这些工具成为在电动汽车软件领域中取得竞争性成本优势的必要手段。

Perforce白皮书《加速进入市场:电动汽车初创企业如何降低软件开发中的风险和成本》中文版已完成,点击 立即获取 !

获取更多汽车软件开发领域的解决方案和实践案例,欢迎咨询 DevSecOps解决方案提供商——龙智
官网: http://www.shdsd.com
电话:400-666-7732
邮箱:marketing@shdsd.com
龙智DevSecOps解决方案
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
P4VFX:Perforce for VFX内容创建工具,包括Maya,Houdini和Nuke
05-27
P4VFX:用于VFX软件Perforce工具集描述P4VFX是一个工具集,旨在使艺术家在VFX内容创建应用程序中使用Perforce变得简单直观。 它通过去除复杂的功能(例如分支)并仅提供艺术家实际需要的工具来签出资产,提交/管理...
matlab转换java代码-p4sl:适用于MATLAB和Simulink的Perforce插件
05-26
matlab转换java代码 Perforce P4SL 概述 P4SL是用于Simulink和Matlab的Helix核心插件。 要求 Matlab 2017b或更高版本。 版本2017.1或更高版本的Perforce服务器。 Java:完全标准的JDK 8或更高版本。 如以下“已知...
代码质量与安全 | 免费的静态分析工具好吗?
weixin_49715102的博客
03-20 227
静态分析是一种排除错误的方法,它在不执行程序的情况下自动检查源代码。通过这种方式,开发人员可以获得洞察能力,以帮助他们确保代码库兼容、安全、可靠。静态分析在软件开发生命周期(SDLC)的实施(编码)阶段、集成/构建和测试阶段执行,把检测和修复左移到生命周期早期,来确保代码安全。在检查源代码的安全漏洞、质量和性能问题,和/或不符合标准等方面,免费的静态分析工具几乎是没有成本的。
EV初创公司如何降低软件开发成本和风险:电动汽车初创公司如何降低软件开发成本和风险 | 电动汽车软件开发的范围 | 电动汽车初创公司应关注的 3 个挑战
Polelink北汇信息的博客
05-12 144
大多数原始设备制造商不会从电动汽车(EV)的销售中获利,但计划快速进入市场的电动汽车初创公司不必遭受同样的损失。随着电池价格飙升、零部件成本高昂和销量低迷,电动汽车初创公司的盈利能力逐渐下降,必须将软件开发视为提高预算、进度和工作水平的一种方式。了解电动汽车软件开发面临的主要挑战有助于初创公司领导者找到解决这些问题的途径。正如我们在这篇博客中所解释的那样,收回成本并不一定意味着提高车辆价格或裁员——相反,它是关于在高度复杂和受监管的软件环境中寻找更智能地工作的选择。
嵌入式系统和物联网中的软件安全:您需要了解的嵌入式系统软件功能安全与信息安全 | 为什么C与C++对此很重要 | 为什么静态分析对此很重要 | 为什么编码标准对此很重要
Polelink北汇信息的博客
05-17 1199
您需要了解的嵌入式系统软件功能安全与信息安全 当代的科技正在以前所未有的速度发展,每天都有崭新的产品与功能出现,完成难以想象的任务。这种情况不再局限于手机APP和计算机,同时也包括了对我们日常生活来说更普遍的嵌入式系统和物联网设备。感觉几乎所有的设备都在运行软件:婴儿监视器,扬声器,健身追踪器,安全摄像头,恒温器和车辆等等。对于这样的新世界,建筑师、MIT教授、作家Nicholas Negroponte表示,“如同空气与饮水,数字化只会因缺失被注意到,而不是它的存在。”
代码静态分析工具
热门推荐
旋极智能的博客
03-10 1万+
随着逐渐增加的系统复杂性和不断加快的产品发布周期,静态代码分析工具在整个产品开发过程中的价值也日益凸显,开发人员在每次提交代码之前都会运行一个静态分析工具,在这些缺陷变成威胁之前找到它们,因为这些威胁会让公司耗费更多的成本和时间。 下面给大家介绍几款国外的静态分析工具,希望能帮助大家了解各工具的侧重以及查找这些工具的渠道。 1、HelixQAC 服务商:http://qa-systems.cn/multi/575.html 简介: Helix QAC是一款静态代码分析工具,它依据C和C++编码规则自动扫描代
如何使用Incredibuild和Klocwork来提高DevOps生产力
weixin_49715102的博客
08-13 267
DevOps组织不断寻找能提高DevOps生产力的方法,并加快其上市时间。但如果缺乏适当的集成化工具,这将变得极具挑战。 为何加速DevOps是一项重大挑战? 加速DevOps是最主要的挑战,因为在开发过程的早期,您必须发现安全、合规和编码方面的缺陷,否则这些缺陷将变得愈发复杂、昂贵,从而导致无法修复。这一挑战经常被放大,因为在集成和预生产阶段中,反馈经常会延迟。 加速DevOps时最常见的挑战包括: 迅速发现并尽早修复代码错误。 满足代码安全和合规要求(DevSecOps)。 建立跨团队协作和报告机制(.
Perforce Helix Core 是一款高度可扩展和灵活的版本控制软件,旨在支持团队协作和软件开发管理
06-24
开发的旗舰产品,Helix Core 提供了强大的功能和工具帮助开发团队管理和跟踪源代码、二进制文件以及其他开发资产的版本控制。 主要功能和特点 版本控制: Helix Core 提供先进的版本控制功能,支持并行开发和...
ue4-perforce:帮助程序和文档,用于在AWS上进行Perforce设置并与Source Built Unreal Engine 4一起愉快地工作
05-19
ue4-perforce 为虚幻引擎4游戏找到全面的perforce类型映射和p4ignore是一件很痛苦的事,所以我要分享我们的想法。 此配置适用于带有随附Project的UE4的源构建版本此设置使Mac和PC都可以编译构建,而无需从perforce中...
jamplus:JamPlus是一个非常快速的代码和数据构建系统,它源自于最初的Perforce版本的Jam。
05-15
JamPlus是一个非常快速和强大的代码和数据构建系统,建立在Christopher Seiwald编写的原始Perforce版本的代码库的基础上。 JamPlus通常用于有效并行化海量代码和数据集的构建。 JamPlus发行版中的功能样本如下: ...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
最新发布
weixin_42333261的博客
07-12 165
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
Nginx七层(应用层)反向代理:UWSGI代理uwsgi_pass篇
jclee95的个人博客
07-10 1100
Nginx提供了多种应用层反向代理支持,包括proxy_pass、uwsgi_pass、fastcgi_pass和scgi_pass等。其中,proxy_pass指令可以接受一个URL参数,用于实现对HTTP/HTTPS协议的反向代理;uwsgi_pass用于代理到uWSGI应用服务器;fastcgi_pass用于代理到FastCGI服务器;而scgi_pass则用于代理到SCGI(Simple Common Gateway Interface)应用。这些指令使Nginx能够灵活地处理不同类型的后端服务和应
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 833
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
设备运维、教学直播...浅析远程控制在医疗专网环境下的应用
oray2013的专栏
07-11 386
随着跨院会诊的需求出现,安全高清的远程是为患者提供更加专业和全面的诊断意见的必要条件,医院内网下设备部署向日葵Q2Pro,同时为各类医院科室专家分配向日葵账号,当有远程诊疗需求发生时,医生仅需添加指定设备,即可在手机或电脑上发起远程操作,实时获取患者的检查数据,及时响应任何紧急情况。向日葵的远程系统采用了先进的RSA&AES非对称加密技术和安全协议,确保所有的数据传输都是安全的,其次使用控控接入医院内部的设备终端,使得控控上网,医院内部设备不联网,高度保障了医院内部的数据安全不被未授权访问。
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第一篇 嵌入式Linux入门篇-第二十六章 安装超级终端软件
BeiJingXunWei的博客
07-11 508
USB 转串口,也叫‘U 转串’,可以把没有串口的电脑虚拟一个串口出来,这样就让电脑具备了串口的功能,从而可以使得开发板和 PC 之间通过串口通讯了。(这里需要提醒一下,用户插入的 USB 接口不一样,显示的端口号也会不一样,大家只需要关注‘USB 转串口’插入后,增加的那一个串口号,这个增加的串口号需要大家记住,在超级终端的设置中会用到。首先使用串口线连接到开发板的串口(红色箭头指的地方),串口线的另一端连接U转串口,然后连接到电脑usb口上,连接方式如图所示,图片上连接的串口是调试串口。
docker-compose安装PolarDB-PG数据库
wnfff的博客
07-12 293
docker-compose安装PolarDB-PG数据库
子任务:IT运维的精细化管理之道
xxxxaayy的博客
07-11 843
在当今的企业运营中,信息技术已成为支撑业务发展的核心力量。同时提高服务交付速度和质量。随着业务的复杂性和动态性的不断增加,IT运维管理的角色变得愈发关键。然而,面对庞大的IT运维任务和多样化的服务需求,如何确保运维工作的高效性和系统性,成为了IT团队面临的一大挑战。正是在这一需求的驱动下,的概念应运而生,它作为一种将整体运维工作细化为更小、更具体、更易于管理的任务单元的方法,为IT运维团队提供了一种全新的工作模式。
使用Gunicorn提高Web应用的多核并发处理能力
2401_85639015的博客
07-11 937
Gunicorn 是一个基于pre-fork worker模型的WSGI服务器。它能够处理多个工作进程,每个进程可以处理多个请求,这使得它非常适合处理并发请求。兼容性强:支持多种Web框架,如Django、Flask、Pyramid等。高性能:基于pre-fork worker模型,能充分利用多核CPU。易于配置:提供了多种配置方式,包括命令行参数、配置文件和环境变量。稳定性:在生产环境中广泛使用,经过了大量的实践检验。
helix qac资料
06-20
### 回答1: Helix QAC是一款软件质量控制工具,其主要目的是确保软件项目的高质量和稳定性。Helix QAC被广泛应用在各种不同的软件开发项目中,包括嵌入式系统、移动应用、桌面应用等。 Helix QAC可以帮助开发团队监测和检查代码库中的潜在问题和错误,帮助开发人员遵循最佳的编程实践和行业标准。该工具提供了丰富的分析功能和操作流程,支持从基础的代码格式检查、代码复杂性分析到高级的代码路线图和代码度量分析等。 与传统的手动测试相比,Helix QAC可以大大提高软件开发和测试效率,减少测试周期和缺陷率。此外,它还提供开发过程的可视化信息报告,便于管理层和开发人员跟踪项目进展和分析测试结果。 总之,Helix QAC是一个可靠、强大的软件质量控制工具,可用于各种规模的软件开发项目。它可以帮助开发人员更快、更准确地检测程序中的错误和缺陷,并在项目的整个生命周期中提高软件的稳定性和可靠性。 ### 回答2: Helix QAC是一款由Perforce公司开发的软件质量管理工具,主要用于检查和改进软件代码质量以及遵守编码标准和最佳实践。该工具能够通过静态代码分析、自动化测试、代码审核等方式,快速发现潜在问题和缺陷,提高代码质量和可靠性,降低维护成本和风险。Helix QAC支持多种编程语言和开发环境,包括C、C++、Java、C#等,并可与各种集成开发环境和构建系统集成,兼容主流操作系统和硬件平台。其主要功能包括编码标准检查、代码规范性分析、多重重构工具代码可读性优化、Bug检测和修复、性能优化和缺陷跟踪等。使用Helix QAC还可以配合其他Perforce公司的产品,如Helix Core和Helix Swarm,实现源代码管理、版本控制和协同开发。通过该工具的应用,编程人员可以更快速、高效地开发和维护软件,提高代码可维护性和可扩展性,加速产品交付和上市时间。 ### 回答3: Helix QAC是一种自动化测试工具,可以帮助软件开发团队进行质量测试。它可以对软件代码进行静态分析和动态测试,并提供丰富的测试报告和分析数据,帮助开发人员识别和解决软件质量问题。 Helix QAC支持多种编程语言和开发平台,包括C/C++、Java、Python等。它可以快速检测代码中的潜在问题,如代码可读性、安全性、性能和可靠性等方面的问题。同时,它还可以对代码进行自动化测试,发现可能存在的缺陷和错误,从而确保软件质量Helix QAC还支持与各种开发工具集成,如Eclipse、NetBeans、Visual Studio等。这使得软件开发人员可以在其常用开发环境中无缝使用Helix QAC,轻松进行代码分析和测试。 总的来说,Helix QAC是一款强大的自动化测试工具,可帮助软件开发团队提高代码质量、提高开发效率和降低错误率。通过使用Helix QAC,开发人员可以更轻松地发现软件质量问题,并及时采取措施进行修复,从而最大程度地提高软件质量和用户满意度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值