時間限制使開發人員面臨壓力，需要在嚴格且在許多情況下不充分的時間表內完成項目要求。此外，對嵌入式軟件的可靠性、準確性和性能的期望高于對實時計算的期望。我們還需要考慮運行嵌入式軟件的實際目標硬件的約束。軟件合規性和認證要求通常由行業強加，以解決安全性問題。

過程標準提供過程、驗證方法和最佳實踐，以確保軟件的安全、安全和質量具有足夠的信心。這些包括：

DO-178B/C（航空電子設備）

ISO 26262（汽車）

IEC 62304（醫療）

IEC 61508（工業）

EN 50128（導軌）

以及更多

軟件驗證和確認是遵守過程標準的關鍵組成部分。這是一個涉及不同軟件測試技術的過程，這些技術可能非常嚴格，昂貴且耗時。

采用一兩種軟件測試技術不會削減它。在開發生命周期中使用各種自動化方法將節省您的時間和金錢。它還將有助于建立可靠性聲譽，這是無價的。

嵌入式軟件開發的自動化測試方法

自動化對于測試嵌入式軟件至關重要，因為手動方法容易出錯且耗時。讓我們討論一下對您的團隊有幫助的重要自動化測試方法。

靜態代碼分析

首先，我強烈建議始終使用靜態代碼分析作為第一種測試方法。執行靜態分析的一個絕妙優勢是，您可以在項目的任何階段引入和使用它。即使項目不完整且部分編碼，靜態代碼分析也是有效的，因為不需要執行代碼。

引入靜態分析的最大挑戰是，大量代碼可能會產生大量警告。將靜態分析集成到項目中時，建議關注以下幾點：

讓團隊盡快提高工作效率。

最大限度地減少團隊被所有靜態分析警告淹沒的機會。

這并不是要降低這些警告的重要性。但是，大多數開發人員都沒有修復現有或遺留代碼的奢侈。至少不是立即。

因為有各種編碼合規性標準（MISRA C：2012，自動sar C++14，SEI CERT，CWE等）從目標開始。如果安全性是關鍵目標，則啟用所有與安全相關的規則，禁用不太重要的規則并啟用內置安全編碼標準之一（如 CERT C/C++）是有意義的。

動態分析方法或運行時錯誤檢測

如前所述，一種測試方法是不夠的。僅通過靜態分析無法識別所有錯誤或缺陷。動態分析方法或運行時錯誤檢測也是一種測試實踐。

此測試應與要求相關聯。它檢查正在運行的代碼，暴露架構和行為缺陷，其他弱點和/或安全漏洞，包括內存泄漏等。

團隊可以在軟件抽象的各個級別應用這種類型的測試。從測試每個單獨的單元或功能開始，然后集成其他軟件部件。最終，軟件將系統作為一個整體或黑匣子進行測試。這通常表現在眾所周知的V模型軟件生命周期中。

結構代碼覆蓋率

在動態分析方法中，可以應用其他技術的疊加，例如結構代碼覆蓋率。

簡而言之，結構覆蓋是識別已執行和記錄的代碼，以確定系統是否已經過充分測試。如果可以通過測試用例執行確定已執行的代碼，則未發現或未執行的代碼將公開對其他測試的需求。

如果您的合規性要求是獲得 100% 的代碼覆蓋率，則至少需要通過單元測試和手動測試來執行覆蓋率。雖然我們可以繼續沿著揭示其他測試方法（如回歸、性能、壓力、API、UI、驗收等）的路徑前進，但讓我們深入研究用于測試嵌入式系統的現代部署。

持續集成和持續交付

在過去幾年中，一個越來越受歡迎的主題是持續集成和持續交付（CI / CD）。CI/CD 是夜間集成的軟件開發實踐（將較小的構建單元合并到應用程序、庫或組件中），目的是構建可測試的軟件以實現持續交付并及早發現構建/集成問題和錯誤。

嵌入式軟件開發中的 CI/CD 通常以應用程序開發不然的方式受到限制。除了目標硬件平臺的物理和計算約束外，還有合規性約束。嵌入式軟件市場對安全性和安全性有獨特的要求，并且具有極長的生命周期。產品可以在市場上保留數十年。

如今，一些組織將靜態分析納入其 CI/CD 現代開發工作流。適應通常圍繞基于Git的開發環境，采用動態的分支和合并方法，開發人員可以指定父/參考分支來與他們當前的開發分支進行比較，并自動比較和計算增量以進行分析。

因此，無需對整個項目運行分析（這可能需要相當長的時間，甚至數小時），而是可以在最小的文件集上運行。這減少了評估會話和重點的持續時間。然后，可以解決和糾正編碼違規，以實現干凈、安全且可靠的構建。

容器化開發環境

另一種類型的現代化來自容器化開發環境。開發工具的容器化部署正在成為嵌入式開發團隊的面包和黃油。

盡管容器最初是為解決微服務和基于Web的應用程序的部署問題而開發的，但它們最近在嵌入式團隊中越來越受歡迎。特別是對于使用容器來管理復雜工具鏈的大型團隊。

在管理復雜的開發環境時，特別是在安全關鍵領域，團隊通常會面臨以下挑戰，這些挑戰很容易用容器解決：

將整個團隊的升級同步到最新版本的工具（如編譯器、生成工具鏈等）。

動態響應庫或軟件開發工具包 （SDK） 等的新安全補丁。

確保所有團隊成員的工具鏈和自動化基礎結構 （CI/CD） 的一致性。

能夠對開發環境進行版本控制并對其進行還原，以便為使用特定工具鏈認證的舊版本產品提供服務。

入職和設置新的開發人員。

在下面的示例中，您讓 Parasoft C/C++測試訪問容器化編譯器 （GNU GCC） 和運行時環境。有兩個單獨的 Docker 容器，一個用于編譯器和構建工具，另一個用于執行環境（例如，嵌入式 Linux 的剝離版本）。

在這個例子中，Parasoft C/C++測試標準可以用作基于命令行的工具，適用于容器內部署。它可以與編譯器和構建系統打包到一個容器映像中，用于 CI/CD，并部署到開發人員的桌面上進行本地命令行掃描。

以下示例可以通過自動化完成，或者每個團隊成員都可以拉取一致的開發環境，其中容器化提供以下內容：

開發環境版本控制

集中管理和部署

對安全漏洞的即時反應

更低的入職成本

了解行業領導者如何交付安全可靠的軟件

如果您想簡化團隊工作流程、削減成本并縮短上市時間，那么了解嵌入式安全和安保關鍵型系統開發中的挑戰、解決方案和現代方法對您來說非常重要。

審核編輯：郭婷