Polelink北汇信息的博客

汽车行业正面临重大转型，2024年特别关注电动、自动驾驶和混合动力车辆的软件开发。全球电动汽车销量增长，软件安全和合规性成为开发重点。ISO 26262和ASIL等级衡量风险，网络安全挑战上升。敏捷开发和跨团队协作是提升效率的关键。标准遵从性验证是挑战，但对行业至关重要。新兴趋势强调安全性和效率，要求汽车专业人士不断适应技术革新。

MISRA C++：2023®，MISRAC++标准的下一个版本，就在这里！为了帮助您了解 MISRA C++：2023 与上一版本之间的变化，我们继续 Perforce 首席技术支持工程师 Frank van den Beuken 博士撰写的第三期博客系列。在前两篇博客中，我们 向您介绍了新的 MISRA C++ 标准 和 C++ 的历史 。在这篇博客中，我们将仔细研究以 C++ 中 for 循环为中心的特定规则。

如今，新车购买者的关注点更多地集中在“数字驾驶舱生态系统体验”上，而不是传统功能，如马力和燃油经济性。汽车行业已将提供这种体验作为优先事项，包括全连接的车载信息娱乐 （IVI） 系统，包括触摸屏显示器、语音命令以及集成的信息和娱乐功能。

Helix QAC 2023.4 为新的 MISRA C++：2023 指南推出了 100% MISRA C++：2023® 规则覆盖率。此版本还包括扩展的 C++20 语言支持、数据流分析的性能改进以及整个产品中的许多产品体验增强功能。

C++是一种常用的通用编程语言，可以用它来编写高效的程序。正因为如此，它在安全关键型应用领域也很受欢迎，例如汽车行业，MISRA是最受欢迎的编码标准之一。让我们来看看这门语言的迷人历史。

汽车网络安全在汽车开发中至关重要，尤其是在 汽车软件 日益互联的情况下。在这篇博客中，我们将分享如何防止汽车网络安全漏洞。

Klocwork 2023.3中的新功能Klocwork 2023.3使用构建标记为Streams和CI/CD分析管道提供了构建管理改进。C/C++分析引擎获得了跟踪由常量索引引用的单个数组元素值的能力。Klocwork分析引擎的总体改进提供了更高的结果准确性和适用于CWE 2023 Top 25和MISRA C:2023®的新的编码标准覆盖率，现已推出。

Helix QAC 2023.3预计将于2023年第四季度发布的新MISRA C++®指南，将100%覆盖MISRA C++:2023®规则。此外，此版本扩展了对C++20语言支持，并改进了Perforce Validate平台和Helix QAC与Validate的集成，包括其他生活质量和性能增强。

MISRA C++：2023®是广受期待的MISRA C++ ®标准的下一个版本，将于今年晚些时候发布。新版本将整合AUTOSAR C++14指南，并支持C++的最新版本。MISRA®是由汽车行业软件可靠性协会（MISRA）开发的一套C和C++编码标准，不仅是汽车行业的最佳标准之一，也是任何使用嵌入式系统的行业的最佳标准之一。为了帮助您为即将发布的版本做好准备，我们推出了一个由我们的MISRA专家Frank van den Beuken博士撰写的关于MISRA C++:2023概述的博客系列。

汽车软件过程改进和能力确定（Automotive SPICE®，简称ASPICE）是一种过程评估模型，可帮助OEM和供应商评估组织内软件开发过程的当前性能和成熟度级别。遵守此标准有助于汽车供应商确保其软件质量满足客户的关键要求。在这里，我们概述了汽车软件组织的ASPICE和性能质量合规性技巧。

随着 2023.2 的发布，Klocwork 为 C、C++、C#、Java 和 JavaScript 分析提供了更新和改进。MISRA C:2012 AMD 2覆盖率和DISA STIG ASD C/C++高严重性规则覆盖率高达83%。还引入了针对 C 语言检查器的附加路径分析。Validate平台现在具有增强的问题浏览和筛选功能。其他增强功能包括改进Microsoft Visual Studio 插件和 Project Streams in Validate 的稳定性和性能。

Helix QAC 2023.2 提供 100% 的 MISRA C：2012 和 MISRA C：2023 规则覆盖率，并更新相应的合规性模块以支持 MISRA C：2023。此外，此版本还包括改进的 C23 语言支持、对Validate平台的改进以及 Helix QAC 和 Validate 的集成，以及其他功能改进。

MISRA：增强软件安全性和稳定性MISRA起源于汽车行业，在汽车行业中保持高标准的软件开发非常重要。MISRA提供了一套适用于任何软件应用程序的全面指南，在确保软件安全性和稳定性方面发挥着至关重要的作用。这些准则包含各个方面，例如避免比较运算符右侧的副作用，以及不执行任何指针算术。虽然开发团队通常有自己的代码审查指南，但MISRA的附加规则集的加入，这些规则已经经过了广泛地研究并证明其可以提高软件质量，代表了在保护软件完整性和可靠性方面的重大飞跃。

静态分析如何帮助确保安全可靠的高级驾驶辅助系统 （ADAS）确保高级驾驶辅助系统中的软件安全、可靠和最有效方法是使用静态分析工具，如 Helix QAC。 静态分析工具有助于执行汽车编码指南（如 MISRA 和 AUTOSAR ）， 并经过认证可用于功能安全标准（如 ISO 26262 ）。 通过使用Helix QAC，您将应用编码指南来验证您的软件是否满足必要的要求。此外，Helix QAC还可以通过以下方式提高软件质量：• 实施编码标准并检测规则违反。• 在开发早期检测合规性问题。

静态分析可帮助面临压力的开发团队。高质量的版本需要按时交付。需要满足编码和合规性标准。错误不是一种选择。这就是开发团队使用静态分析工具/源代码分析工具的原因。在这里，我们将讨论静态分析和使用静态代码分析器的好处，以及静态分析的局限性。什么是静态分析？静态分析是一种调试方法，通过自动检查源代码来完成，而无需执行程序。这使开发人员能够了解他们的代码库，并有助于确保其合规性和安全可靠性。

ISO 9001为组织的质量管理体系（QMS）提供了具体要求和标准。它是一个广泛的国际标准，适用于任何规模的任何类型的组织。最新版本的ISO 9001于2015年发布，旨在帮助公司改善客户体验，满足监管要求，管理供应商和合作伙伴关系，并实现公司持续的成功。在这里，我们提供了ISO 9001的概述，并提供了对Perforce静态分析工具Helix QAC和Klocwork的ISO 9001认证的见解。

嵌入式软件应用程序所面临的日益增多的网络威胁嵌入式软件应用面临着越来越多的安全问题，在任何现代软件开发环境中，考虑安全性都是非常重要的。即使经过最好的审查和测试的软件也可能存在BUG，而这些BUG可以让恶意用户进入系统并造成巨大的物理和财务损失。 其攻击范围涵盖很多领域：从机场的调度系统到医疗设备都可能受到攻击，特别值得关注的是日益增加的自动驾驶汽车或连接汽车、列车和飞机等计算机控制系统。任何与外界通信的系统都面临着风险，例如汽车可能被盗，更糟糕的情况是车辆的控制权被夺取。

AppSec 是在硬件、软件和开发过程中在应用程序级别查找、修复和防止安全漏洞的过程。它包括对应用程序设计和开发以及整个生命周期（包括应用程序启动后）的措施的指导。具有强大应用程序安全性的组织认识到，AppSec不是一项单一的技术，而是一个持续的过程，涉及最佳实践和流程，旨在帮助预防和解决应用程序面临的网络威胁。许多组织使用服务和AppSec工具来加速应用程序开发，同时减少代码漏洞并防止网络安全风险。

在软件开发中，Shift-Left是一种帮助开发人员在软件开发过程早期发现漏洞和编码错误的做法。Shift-Left Security是一种有效的方法，它专注于安全性，并有助于在软件发布之前很久就解决代码中的任何安全问题。在这里，我们概述了什么是Shift-Left Security，并提供了有关静态分析器如何帮助您在 SDLC 中及早发现安全漏洞的指导。

大多数原始设备制造商不会从电动汽车（EV）的销售中获利，但计划快速进入市场的电动汽车初创公司不必遭受同样的损失。随着电池价格飙升、零部件成本高昂和销量低迷，电动汽车初创公司的盈利能力逐渐下降，必须将软件开发视为提高预算、进度和工作水平的一种方式。了解电动汽车软件开发面临的主要挑战有助于初创公司领导者找到解决这些问题的途径。正如我们在这篇博客中所解释的那样，收回成本并不一定意味着提高车辆价格或裁员——相反，它是关于在高度复杂和受监管的软件环境中寻找更智能地工作的选择。

安全的软件开发最佳实践是必要的，因为安全风险无处不在。在网络攻击盛行的时代，它们可以影响每个人，包括个人、公司等。因此，确保软件开发的安全性至关重要。在这里，我们将解释了什么是安全软件，如何确保软件的安全性，并提供 安全软件开发的最佳实践 。

Klocwork 2023.1为CI/CD分析pipeline引入灵活的管理选项。使用差异分析加速静态分析扫描, 在CI/CD管道构建中提供上下文结果，并可以用和服务器端相同的方式管理issue。扩展了对Java 14/15和C#8.0语言的支持，C/C++/C# PATH分析性能提升高达50%*。

Helix QAC 2023.1 对 MISRA C:2012修订版4和MISRA C:2023的覆盖率为100%，对 AUTOSAR C++14的覆盖率为96%。它还更新了CWE最新版本v4.10的合规模块。在这一版本中Helix QAC和Validate平台的集成也有重大改进，Validate平台提供了软件对跨工程以及Perforce静态分析产品的软件洞察力。

汽车行业一直在经历重大变化，因为它正在努力适应不断增长的市场需求，以及与电动化、自动驾驶和混动汽车相关的挑战。在这里，我们的报告《2023年汽车软件开发现状》中强调的一些值得注意的趋势。

Klocwork⽀持的⾏业标准：IEC 61508、ISO 26262、EN 50128、DO-178B/C、IEC 62304、FDA。在相关标准下涉及到的编码规范有MISRA、AUTOSAR、CERT、CWE、OWASP、DISA STIG、PCI DSS、C Secure、JSF AV C++、NASA，针对以上编码规则，Klocwork提供⼀站式⽀持，并且您可以根据项⽬要求定制化编码规范，让静态分析⾃动化遵循编码规范变得⾮常简单。

Klocwork具有内置的静态代码分析器，在DevOps流程中⾃动检查源代码潜在的安全漏洞，确定必须修复的缺陷，并在Validate端给出详细的指导，帮助开发⼈员⾼效修复源码中存在的问题，提⾼代码的安全性、可靠性和合规性。

Klocwork是⼀款先进、灵活的静态代码分析器，适⽤于C、C++、C#、Java、JavaScript、Python和Kotlin的静态检测，可以识别软件中的潜在缺陷，在开发最前期保证代码的安全性和可靠性，帮助软件遵循相应的编码规范。

提到鸿蒙操作系统（Harmony OS），想必大家并不陌生。其底座OpenHarmony是由华为捐出的鸿蒙开源系统，并且由开放原子开源基金会孵化及运营, 目标是面向全场景、全连接、全智能时代, 搭建一个智能终端设备操作系统的框架和平台, 促进万物互联产业的繁荣发展i。数月前，华为再度突破新的领域——与国航签约，华为将助力国航在以OpenHarmony为底座的HarmonyOS框架上构建应用/服务。作为汽车行业的新势力，华为在汽车领域拥有卓越的表现，市面上很多汽车已将Harmony OS作为其车机系统。

对于 2022 年的最终版本，Klocwork 2022.4 提供了针对 C、C++、C#、Java 的更新和改进，并增强了对 Android 13 的支持。此外，此版本还包括对 MISRA C：2012 和 DISA STIG 编码标准规则覆盖范围的改进、新的和改进的除以零漏洞检查器，以及验证平台中许多功能的总体使用质量改进。

Helix QAC 2022.4 中的新增功能Helix QAC 2022.4为MISRA C:2012 AMD3提供了100%的规则覆盖，数据流被拆分为一个新的组件，提供了改进的分析性能，并升级了对C++20和C23的语言支持。此外，此版本还包括改进的编译器支持以及各种 Helix QAC 组件的总体使用质量改进。

在任何新的软件开发项目开始时都应考虑软件安全性。开始一项工作可能会让人望而却步，因为需要做出许多决定，并且必须仔细考虑。这通常包括定义项目需求、选择正确的流程、选择正确工具和确保软件安全。

网络安全威胁无处不在。每年，网络攻击尝试的数量都在增加 ，并且变得越来越复杂。 这尤其令人不安，因为组织已经受到网络安全威胁的轰炸。什么是网络安全威胁？网络安全威胁是威胁破坏应用程序和业务的恶意攻击。网络安全威胁包括数据泄露、病毒和其他攻击。网络安全威胁多久发生一次？网络安全威胁每 39 秒发生一次 。网络安全威胁是每个软件开发行业的主要关注点。因此，您必须采取适当的步骤来确保您的代码是安全的。这包括：• 了解最常见的网络安全威胁是什么。• 采用安全编码最佳实践。• 实施安全编码标准。

BARR-C是Barr集团的编码标准，旨在减少嵌入式软件中的错误，并引入风格指南以提高可维护性和可移植性。在这里，我们解释了什么是Barr-C，开发人员如何使用BARR-C:1018检测用C编写的固件中的错误，以及如何将其与MISRA的指南相结合。

随着 2022.3 的发布，Klocwork 对 C#、Java、JavaScript、Kotlin和Python的语言覆盖范围进行了更新和改进。微软 Visual Studio IDE 插件已得到改进，可支持 C# 的多线程和增量分析，从而将选定项目和解决方案的分析时间缩短多达 200%*。此外，2022.3 还包括对可配置缺陷抑制功能的增强、扩展的 Android 构建规范生成 CLI 选项以及更广泛的编码标准覆盖范围。（*基于内部基准的开放源码软件项目）

Helix QAC 2022.3 引入了对微软 Visual Studio 2022 的支持、BARR-C：2018 的新合规模块，以及对 C++20 和 C23 的升级语言支持。此外，这个版本包括更广泛的编译器支持和各种CLI命令的质量改进。

随着软件定义汽车概念的兴起，汽车软件开发的工作量开始呈指数级增加，当前车载软件代码量已经达到1亿-3亿行。这是一个什么概念呢，相当于比Windows系统还高出一个数量级。据调查，大部分的车载软件都是使用C语言进行开发，因为C执行效率高、代码量小，因此在汽车的小型控制部件中被广泛使用。尽管C语言在嵌入式系统中如此流行，但仍有很多缺陷：

在此 Docker 教程中，你将学习如何创建 Helix QAC 并将其作为容器化镜像运行。Docker 的基本定义是一种开源和流行的操作系统级虚拟化（通常称为“容器化”）技术，它是轻量级的，可移植的，并且主要在Linux和Windows上运行。Docker 使使用容器创建、部署和运行应用程序变得更加容易。从根本上说，容器只是一个正在运行的进程，并应用了一些附加的封装功能。

在此 Docker 教程中，你将学习如何创建 Helix QAC 并将其作为容器化镜像运行。Docker 的基本定义是一种开源和流行的操作系统级虚拟化（通常称为“容器化”）技术，它是轻量级的，可移植的，并且主要在Linux和Windows上运行。Docker 使使用容器创建、部署和运行应用程序变得更加容易。从根本上说，容器只是一个正在运行的进程，并应用了一些附加的封装功能。

越来越多的终端消费者希望获得 “数字生态系统”体验。“智能座舱”是车载信息娱乐系统的核心，正在成为OEM及其汽车品牌的关键差异化因素。IVI是车辆系统的组合，用于向车辆乘员提供音频/视频接口和控制元件 - 触摸屏显示器，按钮面板，语音命令等。用户界面： 驾驶员和乘客在屏幕上通过触摸或旋钮和拨盘看到和与之交互的内容。音响主机： 包括显示器、外壳、电路板、CD/DVD 播放器、收音机和多个处理器 ——统称为车辆音响主机。它也是与车辆所有物理输入的接口，例如音响系统和/或外部摄像头。

随着 2022.2 的发布，Klocwork 支持所有工具和插件的 Project Streams，允许开发人员通过在其开发管道的上下文中提供分析结果来处理多个分支、变体和流。我们也很高兴地分享，Klocwork的Portal将更名为Validate平台，这将带来新的外观和感觉。即使登录屏幕将具有新的外观，您仍然可以像往常一样登录平台。......