Polelink北汇信息的博客

随着汽车软件开发的复杂程度不断提升，尤其是智能网联汽车和自动驾驶技术的进步，汽车软件开发的复杂程度不断攀升。为了满足日益增长的功能需求和技术挑战，异构硬件平台被越来越多地采用，不同的工具链也不可避免地被引入到实际的开发流程中。这一趋势不仅增加了开发过程的技术多样性，也使得单个项目的编译过程中会涉及到多种编译器。本文主要讲解基于静态代码分析工具Helix QAC，我们该如何对多编译器工程进行静态分析。

Klocwork 2024.2 为现代 C/C++ 分析引擎引入了显着的准确性和性能改进。此版本还包括增强的安全性和身份验证功能以及改进的用户体验，以及 MISRA® 和 CERT 规则集改进、Java 语言增强功能以及 Kotlin 的新 CWE 映射。

Helix QAC 2024.2 带来了新的特性和功能，为开发过程增加了灵活的选项。用户使用新的 CI 分析通过 Validate 获得完整的 CI 集成支持，从而轻松管理 CI/CD 更改分析结果并加快测试反馈速度，并使用新的服务器分析许可证获得更大的部署灵活性。其他改进包括用于分析使用多个编译器的项目的新功能、对 C++20 和 C23 语言特性的更好支持，以及 Validate 中的 Helix QAC 严重性支持（包括用户消息）。

质量门正如其名：它们通过在软件开发生命周期（SDLC）的各个阶段作为质量里程碑（或“闸门”），确保软件的高质量交付，防止不良代码通过。在这里，我们解释了什么是质量闸门，它们如何工作，以及如何使用静态分析来实现它们。

软件开发者们有很多让他们焦虑的事情。他们最担心的不再是如何用他们最喜欢的编程语言（C、C++、Erlang、Java等）表达最新的算法。相反，这种担忧正逐渐被人工智能（AI）所取代。在这里，我们将探讨AI编写代码的过程，并回答这个问题：AI会取代程序员吗？

随着汽车工业迈入数字化转型的新纪元，软件的安全性与可靠性已跃升为设计和开发核心环节的重中之重。MISRA C++标准的诞生与演进，精准地回应了行业发展的需求。自MISRA C++标准首次面世以来，它便被奉为汽车软件工程师在开发实践中的圭臬。

每年，嵌入式世界大会Embedded World conference都会汇集顶尖的嵌入式开发者、研究人员和创新者，在德国纽伦堡与国际嵌入式社区分享他们的知识和见解。今年的大会延续了这一传统，为不断增长和多样化的全球嵌入式社区提供了一个充满活力的环境，通过主题演讲、演示和展会进行交流。Perforce公司在活动中展示了包括Klocwork、Helix QAC、Helix ALM、Helix Core、Helix IPLM和Helix Plan等知名品牌——所有这些都帮助开发者加速嵌入式开发。

在今年的首个版本中，Klocwork 2024.1为Perforce的持续安全和代码合规性平台Validate引入了新的功能和改进。现在，Validate的升级过程更快、更稳健、对用户更友好。您可以去除项目、优先迁移、无需服务器重启单独迁移项目、无缝处理迁移失败等等。此版本还改进了对使用Bazel构建系统的C/C++、C#和Java开发的项目的支持。Klocwork 2024.1扩展了对编码标准执行的覆盖范围，支持MISRA C++:2023®。

Helix QAC 2024.1改进了对C++20和C23语言特性的支持，并增加了分析使用多个编译器的项目的新功能。此外，Validate增强了对于搜索功能和角色权限的用户体验，并且包括一个新的问题列表的CSV下载选项。此版本还包括对于C/C++的CWE、C的HKMC和MISRA C++:2023®合规模块的扩展执行，以及许多常规产品质量提升。

汽车行业正面临重大转型，2024年特别关注电动、自动驾驶和混合动力车辆的软件开发。全球电动汽车销量增长，软件安全和合规性成为开发重点。ISO 26262和ASIL等级衡量风险，网络安全挑战上升。敏捷开发和跨团队协作是提升效率的关键。标准遵从性验证是挑战，但对行业至关重要。新兴趋势强调安全性和效率，要求汽车专业人士不断适应技术革新。

MISRA C++：2023®，MISRAC++标准的下一个版本，就在这里！为了帮助您了解 MISRA C++：2023 与上一版本之间的变化，我们继续 Perforce 首席技术支持工程师 Frank van den Beuken 博士撰写的第三期博客系列。在前两篇博客中，我们 向您介绍了新的 MISRA C++ 标准 和 C++ 的历史 。在这篇博客中，我们将仔细研究以 C++ 中 for 循环为中心的特定规则。

如今，新车购买者的关注点更多地集中在“数字驾驶舱生态系统体验”上，而不是传统功能，如马力和燃油经济性。汽车行业已将提供这种体验作为优先事项，包括全连接的车载信息娱乐 （IVI） 系统，包括触摸屏显示器、语音命令以及集成的信息和娱乐功能。

Helix QAC 2023.4 为新的 MISRA C++：2023 指南推出了 100% MISRA C++：2023® 规则覆盖率。此版本还包括扩展的 C++20 语言支持、数据流分析的性能改进以及整个产品中的许多产品体验增强功能。

C++是一种常用的通用编程语言，可以用它来编写高效的程序。正因为如此，它在安全关键型应用领域也很受欢迎，例如汽车行业，MISRA是最受欢迎的编码标准之一。让我们来看看这门语言的迷人历史。

汽车网络安全在汽车开发中至关重要，尤其是在 汽车软件 日益互联的情况下。在这篇博客中，我们将分享如何防止汽车网络安全漏洞。

Klocwork 2023.3中的新功能Klocwork 2023.3使用构建标记为Streams和CI/CD分析管道提供了构建管理改进。C/C++分析引擎获得了跟踪由常量索引引用的单个数组元素值的能力。Klocwork分析引擎的总体改进提供了更高的结果准确性和适用于CWE 2023 Top 25和MISRA C:2023®的新的编码标准覆盖率，现已推出。

Helix QAC 2023.3预计将于2023年第四季度发布的新MISRA C++®指南，将100%覆盖MISRA C++:2023®规则。此外，此版本扩展了对C++20语言支持，并改进了Perforce Validate平台和Helix QAC与Validate的集成，包括其他生活质量和性能增强。

MISRA C++：2023®是广受期待的MISRA C++ ®标准的下一个版本，将于今年晚些时候发布。新版本将整合AUTOSAR C++14指南，并支持C++的最新版本。MISRA®是由汽车行业软件可靠性协会（MISRA）开发的一套C和C++编码标准，不仅是汽车行业的最佳标准之一，也是任何使用嵌入式系统的行业的最佳标准之一。为了帮助您为即将发布的版本做好准备，我们推出了一个由我们的MISRA专家Frank van den Beuken博士撰写的关于MISRA C++:2023概述的博客系列。

汽车软件过程改进和能力确定（Automotive SPICE®，简称ASPICE）是一种过程评估模型，可帮助OEM和供应商评估组织内软件开发过程的当前性能和成熟度级别。遵守此标准有助于汽车供应商确保其软件质量满足客户的关键要求。在这里，我们概述了汽车软件组织的ASPICE和性能质量合规性技巧。

随着 2023.2 的发布，Klocwork 为 C、C++、C#、Java 和 JavaScript 分析提供了更新和改进。MISRA C:2012 AMD 2覆盖率和DISA STIG ASD C/C++高严重性规则覆盖率高达83%。还引入了针对 C 语言检查器的附加路径分析。Validate平台现在具有增强的问题浏览和筛选功能。其他增强功能包括改进Microsoft Visual Studio 插件和 Project Streams in Validate 的稳定性和性能。

Helix QAC 2023.2 提供 100% 的 MISRA C：2012 和 MISRA C：2023 规则覆盖率，并更新相应的合规性模块以支持 MISRA C：2023。此外，此版本还包括改进的 C23 语言支持、对Validate平台的改进以及 Helix QAC 和 Validate 的集成，以及其他功能改进。

MISRA：增强软件安全性和稳定性MISRA起源于汽车行业，在汽车行业中保持高标准的软件开发非常重要。MISRA提供了一套适用于任何软件应用程序的全面指南，在确保软件安全性和稳定性方面发挥着至关重要的作用。这些准则包含各个方面，例如避免比较运算符右侧的副作用，以及不执行任何指针算术。虽然开发团队通常有自己的代码审查指南，但MISRA的附加规则集的加入，这些规则已经经过了广泛地研究并证明其可以提高软件质量，代表了在保护软件完整性和可靠性方面的重大飞跃。

静态分析如何帮助确保安全可靠的高级驾驶辅助系统 （ADAS）确保高级驾驶辅助系统中的软件安全、可靠和最有效方法是使用静态分析工具，如 Helix QAC。 静态分析工具有助于执行汽车编码指南（如 MISRA 和 AUTOSAR ）， 并经过认证可用于功能安全标准（如 ISO 26262 ）。 通过使用Helix QAC，您将应用编码指南来验证您的软件是否满足必要的要求。此外，Helix QAC还可以通过以下方式提高软件质量：• 实施编码标准并检测规则违反。• 在开发早期检测合规性问题。

静态分析可帮助面临压力的开发团队。高质量的版本需要按时交付。需要满足编码和合规性标准。错误不是一种选择。这就是开发团队使用静态分析工具/源代码分析工具的原因。在这里，我们将讨论静态分析和使用静态代码分析器的好处，以及静态分析的局限性。什么是静态分析？静态分析是一种调试方法，通过自动检查源代码来完成，而无需执行程序。这使开发人员能够了解他们的代码库，并有助于确保其合规性和安全可靠性。

ISO 9001为组织的质量管理体系（QMS）提供了具体要求和标准。它是一个广泛的国际标准，适用于任何规模的任何类型的组织。最新版本的ISO 9001于2015年发布，旨在帮助公司改善客户体验，满足监管要求，管理供应商和合作伙伴关系，并实现公司持续的成功。在这里，我们提供了ISO 9001的概述，并提供了对Perforce静态分析工具Helix QAC和Klocwork的ISO 9001认证的见解。

嵌入式软件应用程序所面临的日益增多的网络威胁嵌入式软件应用面临着越来越多的安全问题，在任何现代软件开发环境中，考虑安全性都是非常重要的。即使经过最好的审查和测试的软件也可能存在BUG，而这些BUG可以让恶意用户进入系统并造成巨大的物理和财务损失。 其攻击范围涵盖很多领域：从机场的调度系统到医疗设备都可能受到攻击，特别值得关注的是日益增加的自动驾驶汽车或连接汽车、列车和飞机等计算机控制系统。任何与外界通信的系统都面临着风险，例如汽车可能被盗，更糟糕的情况是车辆的控制权被夺取。

AppSec 是在硬件、软件和开发过程中在应用程序级别查找、修复和防止安全漏洞的过程。它包括对应用程序设计和开发以及整个生命周期（包括应用程序启动后）的措施的指导。具有强大应用程序安全性的组织认识到，AppSec不是一项单一的技术，而是一个持续的过程，涉及最佳实践和流程，旨在帮助预防和解决应用程序面临的网络威胁。许多组织使用服务和AppSec工具来加速应用程序开发，同时减少代码漏洞并防止网络安全风险。

在软件开发中，Shift-Left是一种帮助开发人员在软件开发过程早期发现漏洞和编码错误的做法。Shift-Left Security是一种有效的方法，它专注于安全性，并有助于在软件发布之前很久就解决代码中的任何安全问题。在这里，我们概述了什么是Shift-Left Security，并提供了有关静态分析器如何帮助您在 SDLC 中及早发现安全漏洞的指导。

大多数原始设备制造商不会从电动汽车（EV）的销售中获利，但计划快速进入市场的电动汽车初创公司不必遭受同样的损失。随着电池价格飙升、零部件成本高昂和销量低迷，电动汽车初创公司的盈利能力逐渐下降，必须将软件开发视为提高预算、进度和工作水平的一种方式。了解电动汽车软件开发面临的主要挑战有助于初创公司领导者找到解决这些问题的途径。正如我们在这篇博客中所解释的那样，收回成本并不一定意味着提高车辆价格或裁员——相反，它是关于在高度复杂和受监管的软件环境中寻找更智能地工作的选择。

安全的软件开发最佳实践是必要的，因为安全风险无处不在。在网络攻击盛行的时代，它们可以影响每个人，包括个人、公司等。因此，确保软件开发的安全性至关重要。在这里，我们将解释了什么是安全软件，如何确保软件的安全性，并提供 安全软件开发的最佳实践 。

Klocwork 2023.1为CI/CD分析pipeline引入灵活的管理选项。使用差异分析加速静态分析扫描, 在CI/CD管道构建中提供上下文结果，并可以用和服务器端相同的方式管理issue。扩展了对Java 14/15和C#8.0语言的支持，C/C++/C# PATH分析性能提升高达50%*。

Helix QAC 2023.1 对 MISRA C:2012修订版4和MISRA C:2023的覆盖率为100%，对 AUTOSAR C++14的覆盖率为96%。它还更新了CWE最新版本v4.10的合规模块。在这一版本中Helix QAC和Validate平台的集成也有重大改进，Validate平台提供了软件对跨工程以及Perforce静态分析产品的软件洞察力。

汽车行业一直在经历重大变化，因为它正在努力适应不断增长的市场需求，以及与电动化、自动驾驶和混动汽车相关的挑战。在这里，我们的报告《2023年汽车软件开发现状》中强调的一些值得注意的趋势。

Klocwork⽀持的⾏业标准：IEC 61508、ISO 26262、EN 50128、DO-178B/C、IEC 62304、FDA。在相关标准下涉及到的编码规范有MISRA、AUTOSAR、CERT、CWE、OWASP、DISA STIG、PCI DSS、C Secure、JSF AV C++、NASA，针对以上编码规则，Klocwork提供⼀站式⽀持，并且您可以根据项⽬要求定制化编码规范，让静态分析⾃动化遵循编码规范变得⾮常简单。

Klocwork具有内置的静态代码分析器，在DevOps流程中⾃动检查源代码潜在的安全漏洞，确定必须修复的缺陷，并在Validate端给出详细的指导，帮助开发⼈员⾼效修复源码中存在的问题，提⾼代码的安全性、可靠性和合规性。

Klocwork是⼀款先进、灵活的静态代码分析器，适⽤于C、C++、C#、Java、JavaScript、Python和Kotlin的静态检测，可以识别软件中的潜在缺陷，在开发最前期保证代码的安全性和可靠性，帮助软件遵循相应的编码规范。

提到鸿蒙操作系统（Harmony OS），想必大家并不陌生。其底座OpenHarmony是由华为捐出的鸿蒙开源系统，并且由开放原子开源基金会孵化及运营, 目标是面向全场景、全连接、全智能时代, 搭建一个智能终端设备操作系统的框架和平台, 促进万物互联产业的繁荣发展i。数月前，华为再度突破新的领域——与国航签约，华为将助力国航在以OpenHarmony为底座的HarmonyOS框架上构建应用/服务。作为汽车行业的新势力，华为在汽车领域拥有卓越的表现，市面上很多汽车已将Harmony OS作为其车机系统。

对于 2022 年的最终版本，Klocwork 2022.4 提供了针对 C、C++、C#、Java 的更新和改进，并增强了对 Android 13 的支持。此外，此版本还包括对 MISRA C：2012 和 DISA STIG 编码标准规则覆盖范围的改进、新的和改进的除以零漏洞检查器，以及验证平台中许多功能的总体使用质量改进。

Helix QAC 2022.4 中的新增功能Helix QAC 2022.4为MISRA C:2012 AMD3提供了100%的规则覆盖，数据流被拆分为一个新的组件，提供了改进的分析性能，并升级了对C++20和C23的语言支持。此外，此版本还包括改进的编译器支持以及各种 Helix QAC 组件的总体使用质量改进。

在任何新的软件开发项目开始时都应考虑软件安全性。开始一项工作可能会让人望而却步，因为需要做出许多决定，并且必须仔细考虑。这通常包括定义项目需求、选择正确的流程、选择正确工具和确保软件安全。