色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

與您一路同行:從代碼質(zhì)量到全面安全

半導(dǎo)體芯科技SiSC ? 來源:半導(dǎo)體芯科技SiSC ? 作者:半導(dǎo)體芯科技SiS ? 2023-12-01 09:07 ? 次閱讀

作者:Shawn Prestridge,IAR資深現(xiàn)場應(yīng)用工程師 / 美國FAE團隊負責人

安全一直都是一個非常熱門的話題,似乎每周都會聽到這樣的消息:某某公司如何被入侵,數(shù)百萬用戶的數(shù)據(jù)被泄露。

我們看到這么多的安全問題,部分原因在于我們對待安全的方式:安全性通常被認為是事后考慮的問題,是在開發(fā)結(jié)束時才添加到設(shè)備上的東西。然而,復(fù)雜的系統(tǒng),尤其是嵌入式系統(tǒng),有一個很大的攻擊面,這讓攻擊者有機可乘,能夠在“盔甲”上找到破綻。如果你去研究大部分黑客試圖入侵系統(tǒng)的方式,你很快就會發(fā)現(xiàn),在他們的武器庫中,他們最喜歡的手段就是尋找和利用設(shè)備的軟件漏洞。

如果軟件漏洞是黑客所利用的入口,那么我們就需要提高自己的代碼質(zhì)量來解決這個問題。但是,這個問題有多嚴重,我們能做什么來解決它呢?

代碼漏洞容易成為黑客的目標

代碼質(zhì)量糟糕實際上是一個普遍存在的問題,而且有相當多的證據(jù)支持這樣的說法:糟糕的編碼直接導(dǎo)致了漏洞。雖然許多軟件工程專家多年來一直在宣揚這一點,但人們第一次真正意識到這一點也許是在2001年,當時紅色代碼(Code Red)蠕蟲對微軟的互聯(lián)網(wǎng)信息服務(wù)(IIS)施加了緩沖區(qū)溢出攻擊。[1]雖然第一個有記載的緩沖區(qū)溢出攻擊發(fā)生在1988年,針對的是Unix的finger指令,但對普通人的影響十分有限,因此沒有上頭條新聞。

由于紅色代碼造成了大規(guī)模的互聯(lián)網(wǎng)減速,并在新聞報道中鋪天蓋地的傳播,突然間,我們隨處都能看到緩沖區(qū)溢出攻擊的增加,看上去安全研究人員和黑客都在各種系統(tǒng)(包括嵌入式系統(tǒng))中到處尋找這些漏洞。利用緩沖區(qū)溢出攻擊,黑客可以在受影響的系統(tǒng)上運行他們想要運行的任何代碼,其目標是使用固定長度的緩沖區(qū)來保存文本或數(shù)據(jù)的一切代碼。黑客將緩沖區(qū)空間填充到最大,然后在合法緩沖區(qū)空間的末端寫下可執(zhí)行代碼。然后,被攻擊的系統(tǒng)就會執(zhí)行緩沖區(qū)末端的代碼,在許多情況下,這就可以使攻擊者為所欲為了。[2]

這種類型的攻擊之所以成為緊急事件,是因為當時檢查和執(zhí)行緩沖區(qū)限制的編碼并不普遍,但現(xiàn)在許多編碼標準,如mitre.org的通用缺陷列表(Common Weakness Enumeration,CWE),都建議檢查緩沖區(qū)是否存在這種類型的漏洞。[3]遺憾的是,開發(fā)人員在編寫代碼時普遍都不去尋找這個問題,通常需要代碼分析工具來發(fā)現(xiàn)這些問題,這樣開發(fā)人員才會意識到問題的存在并加以修復(fù)。像這樣一個簡單的代碼質(zhì)量改進,就可以消除黑客最常使用的手段之一,從而大大提高代碼的安全性。因此,檢查并執(zhí)行代碼中的緩沖區(qū)長度,這樣的編碼才是好編碼。

不僅僅是緩沖區(qū)溢出

然而,問題不僅僅在于緩沖區(qū)溢出,這實際上是一個系統(tǒng)性問題,草率的編碼通常會導(dǎo)致無數(shù)的安全漏洞,而黑客可以利用這些漏洞來入侵系統(tǒng)。美國軟件工程學(xué)會(SEI)發(fā)表的一篇論文將這一點說得非常清楚:

“......質(zhì)量性能指標為確定高質(zhì)量產(chǎn)品、預(yù)測安全和保障結(jié)果提供了依據(jù)。通用缺陷列表(CWE)中的許多內(nèi)容,如編程語言結(jié)構(gòu)的不當使用、緩沖區(qū)溢出、驗證輸入值失敗等,都可能與低質(zhì)量的編碼和開發(fā)過程有關(guān)。提高代碼質(zhì)量是解決一些軟件安全問題的必要條件?!盵4]

該論文還指出,因為許多安全問題是由軟件漏洞引起的,因此可以像處理更普通的編碼漏洞一樣處理安全問題,您可以應(yīng)用傳統(tǒng)的質(zhì)量保證技術(shù)來幫助解決至少一部分安全問題。

既然正常的軟件質(zhì)量保證過程可以讓我們估計系統(tǒng)中剩余的漏洞數(shù)量,那么可以對安全漏洞做同樣的事情嗎?雖然SEI沒有確認代碼質(zhì)量和安全性之間的數(shù)學(xué)關(guān)系,但他們確實指出,1%到5%的軟件漏洞是安全漏洞,并繼續(xù)指出,他們的證據(jù)表明當安全漏洞被追蹤時,他們可以準確地估計系統(tǒng)中的代碼質(zhì)量水平。[4]這最終表明,代碼質(zhì)量是安全的必要條件(但不是充分條件),真正讓“安全性可以被視為開發(fā)結(jié)束時才添加到設(shè)備上的東西”這一概念不攻自破。相反,安全性必須貫穿項目的DNA,從設(shè)計到編碼,一直到生產(chǎn)。

編碼標準可提供很大的幫助

許多最常見的安全漏洞都在諸如mitre.org的通用缺陷列表等編碼標準中得到了解決,并指出了需要關(guān)注的其他方面,如除零錯誤、數(shù)據(jù)注入、循環(huán)不規(guī)則、空指針利用和字符串解析錯誤。MISRA C和MISRA C++還提倡編碼的安全性和可靠性,以防止安全漏洞滲入你的代碼。雖然這些編碼標準可以捕捉到許多常見的漏洞,但開發(fā)人員在編寫代碼時必須考慮得更長遠:黑客是如何利用我剛剛編寫的代碼的?漏洞在哪里?我是否對輸入會是什么樣子以及輸出會如何使用做了假設(shè)?一個好的經(jīng)驗法則是,如果你在做假設(shè),那么這些假設(shè)應(yīng)該變成代碼,以確保你所期待的東西實際上就是你所要得到的。如果你不這樣做,那么黑客就會出手了。

但是開源軟件呢?在設(shè)計中使用開源組件的典型論點依賴于“已在使用中被證明”(proven in use)的論點:這么多人使用它,它一定是好的。SEI的同一篇論文對于這個問題也有一些闡述:

“除了免費之外,開源所宣揚的好處之一,就是認為‘有很多人關(guān)注源代碼意味著安全問題可以很快被發(fā)現(xiàn),任何人都可以修復(fù)漏洞,不需要依賴供應(yīng)商’。然而,現(xiàn)實情況是,如果沒能有紀律地、一致地把關(guān)注點放在消除漏洞上,安全漏洞和其他漏洞將出現(xiàn)在代碼中。”[4]

換句話說,SEI認為,“已在使用中被證明”的論點毫無意義,并且在將質(zhì)量保證應(yīng)用于開源代碼時,會讓人想起Anybody、Somebody、Nobody和Everybody的故事。此外,你的測試并不足以證明代碼是令人滿意的。SEI表示,像CWE這樣的代碼質(zhì)量標準可以發(fā)現(xiàn)你代碼中的問題,而這些問題往往不會在標準測試中被發(fā)現(xiàn),通常只有在黑客利用漏洞時才會被發(fā)現(xiàn)。[4]為了證明這一點,2020年5月,普渡大學(xué)的研究人員展示了在Linux、macOS、Windows和FreeBSD中使用的開源USB堆棧的26個漏洞。[5]所以,談及安全性時,代碼質(zhì)量是關(guān)鍵,并且所有代碼都很重要。

代碼分析工具有助于遵守標準

在解決代碼質(zhì)量問題上,我們可以做些什么來提高自己應(yīng)用程序的安全性呢?簡單的答案就是使用代碼分析工具,這些工具有兩種基本類型:靜態(tài)分析工具和運行時(或動態(tài))分析工具,靜態(tài)分析只查看應(yīng)用程序的源代碼,而運行時分析則是對代碼進行檢測,尋找空指針和數(shù)據(jù)注入方法等漏洞。IAR可以同時提供這兩種工具,包括靜態(tài)分析工具IAR C-STAT和運行時分析工具IAR C-RUN,它們都完全集成在IAR Embedded Workbench開發(fā)環(huán)境中。高質(zhì)量的代碼分析工具包括對CWE、MISRA和CERT C的檢查。CERT C是另外一種編碼標準,旨在促進編碼安全。這三個規(guī)則集共同構(gòu)成了一個優(yōu)質(zhì)組合,有助于實現(xiàn)可提升安全性的編碼:一些規(guī)則集與其他規(guī)則集有重合之處,但也提供了一些獨特的功能,可以幫助確保你的代碼具有高度的安全性。使用這些標準也有助于確保你擁有最高的代碼質(zhì)量,甚至可能發(fā)現(xiàn)代碼中的一些潛在漏洞。

高質(zhì)量的代碼就是安全的代碼

保證代碼質(zhì)量才能確保代碼安全。不要把代碼質(zhì)量的責任推給別人,因為別人的漏洞很可能給你帶來安全性方面的噩夢。但希望還是有的,因為代碼分析工具可以幫助你在漏洞找麻煩之前迅速發(fā)現(xiàn)問題。通往安全的道路總是要經(jīng)過代碼質(zhì)量這一關(guān)口。

審核編輯:湯梓紅
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 半導(dǎo)體
    +關(guān)注

    關(guān)注

    334

    文章

    27305

    瀏覽量

    218196
  • 代碼
    +關(guān)注

    關(guān)注

    30

    文章

    4780

    瀏覽量

    68539
收藏 人收藏

    評論

    相關(guān)推薦

    afe5803 SPI控制VCAT 8一路單獨控制還是只能起控制?

    afe5803SPI控制VCAT 8一路單獨控制還是只能起控制? 如何選擇digital VCNTL mode,哪里可以找到digital Vcntl相關(guān)?
    發(fā)表于 12-20 07:04

    DS90UB948軟件能控制LVDS信號的幅度,為什么軟件調(diào)控過后,只有一路的幅度能增大,另外一路沒變化?

    DS90UB948軟件能控制LVDS信號的幅度,但是為什么軟件調(diào)控過后,只有一路的幅度能增大,另外一路沒變化,求解釋
    發(fā)表于 12-20 06:19

    AIC3254使用一路mic輸入不使用mono mixer時音量要低很多,為什么?怎么解決?

    兩個mic輸入,用mono mixer把兩輸入合成一路,再用split分開兩輸出。 這樣輸出的聲音較之前使用一路mic輸入不使用mono mixer時音量要低很多,這是為什么呢?
    發(fā)表于 11-05 06:22

    PCM1803的兩個參考源(ref1、ref2)精度多少?是否同一路輸出?

    請教下,PCM1803的兩個參考源(ref1、ref2)精度多少?是否同一路輸出?用其中一路校準另外一路是否有意義?
    發(fā)表于 10-31 06:39

    PCM1864EVM有8音頻輸入,可以同時得到這8的每一路信號嗎?

    1)PCM1864EVM 有8音頻輸入,可以同時得到這8的每一路信號嗎?如果不能最多能得到幾路? 2)PCM1864EVM 的USB插到計算機上,設(shè)置為mode2模式 僅有2
    發(fā)表于 10-28 06:35

    PCM1861只支持一路立體聲輸入?

    PCM186x手冊看到,軟控版本可以對輸入的四個通道進行單獨選擇,選擇一路立體聲或者選擇其中幾路立體聲進行輸入的混合,但是并沒看到有關(guān)硬控版本的PCM1861的相關(guān)說明。是否在硬控模式下
    發(fā)表于 09-29 08:47

    西井科技聯(lián)合成立長三角“一路”高質(zhì)量發(fā)展促進會

    第六屆長三角體化發(fā)展高層論壇在浙江溫州舉行,長三角“一路”高質(zhì)量發(fā)展促進會在現(xiàn)場揭牌。該促進會以中國貿(mào)促會為業(yè)務(wù)主管單位,由包括上海西井科技股份有限公司(簡稱“西井科技”)在內(nèi)的
    的頭像 發(fā)表于 09-23 15:24 ?398次閱讀

    運算放大器,芯片電阻電容之類的都樣,一路能放大信號,另一路就不能,為什么?

    運算放大器,芯片電阻電容之類的都樣,但是一路能放大信號,另一路就不能,這可能使什么原因
    發(fā)表于 09-23 07:08

    使用兩塊AD5412,想要一路電壓,一路電流輸出,但是配置后 兩塊芯片還是不能同時分開輸出電流和電壓,為什么?

    使用兩塊AD5412,想要一路電壓,一路電流輸出,但是配置后 兩塊芯片還是不能同時分開輸出電流和電壓。 比如:我先配置1號DAC,輸出電壓,然后再配置2號DAC輸出電壓,這樣兩電壓是正常的。這個時候改變?nèi)我馔ǖ溃渲贸呻娏?,?/div>
    發(fā)表于 07-11 07:05

    tc397的dtm模塊輸出組pwm,可否讓其中一路直是高電平或低電平,另一路正常輸出pwm呢?

    tc397的dtm模塊輸出組pwm,可否讓其中一路直是高電平或低電平,另一路正常輸出pwm
    發(fā)表于 07-05 06:43

    一路同行,一路風景—拓普聯(lián)科舉辦員工入職周年慶?;顒?/a>

    、智能穿戴、智能家居、智慧醫(yī)療、物聯(lián)網(wǎng)、5G通信、設(shè)備制造商及汽車行業(yè)的客戶提供概念構(gòu)思到批量生產(chǎn)的站式跨學(xué)科精密零組件解決方案,幫助客戶更快更好的實現(xiàn)產(chǎn)品。
    的頭像 發(fā)表于 06-25 12:12 ?682次閱讀
    <b class='flag-5'>一路</b><b class='flag-5'>同行</b>,<b class='flag-5'>一路</b>風景—拓普聯(lián)科舉辦員工入職周年慶祝活動

    一路RS485信號轉(zhuǎn)LoRa和4G輸出方案

    本文旨在提出種簡單可靠的“一路RS485信號轉(zhuǎn)一路LoRa和一路4G信號輸出解決方案”,實現(xiàn)將個RS485輸出信號轉(zhuǎn)發(fā)到兩個不同的設(shè)備或
    的頭像 發(fā)表于 05-09 14:52 ?813次閱讀
    <b class='flag-5'>一路</b>RS485信號轉(zhuǎn)LoRa和4G輸出方案

    代碼審計怎么做?有哪些常用工具

    代碼審計是種通過檢查源代碼來發(fā)現(xiàn)潛在的安全漏洞的方法。 下面是常用的源代碼審計工具: 1、Fortify:通過內(nèi)置的五大主要分析引擎,對
    發(fā)表于 01-17 09:35

    使用兩片LTM4630可以實現(xiàn)三并聯(lián),另一路獨立輸出嗎?

    使用兩片LTM4630可以實現(xiàn)三并聯(lián)(電壓為1.0),另一路獨立輸出嗎(電壓為1.2V).
    發(fā)表于 01-04 07:00

    在AD73360設(shè)置好控制字進入DATA MODE后,如何識別接收的數(shù)據(jù)是需要的那一路信號?

    中斷后無法確定接收的第個數(shù)據(jù)對應(yīng)的是哪一路信號。這就是如何把各路分開的問題。接收到的數(shù)據(jù)本身是無法區(qū)分具體對應(yīng)哪一路的,因為各路信號本身不具有其唯
    發(fā)表于 12-25 07:32
    主站蜘蛛池模板: 热re99久久精品国99热| 视频一区视频二区在线观看| 日本漫画之无彩翼漫画| 午夜天堂AV久久久噜噜噜| 医生含着我的奶边摸边做| old老男人野外树林tv| 国产激情视频在线| 久久秋霞理论电影| 日日摸夜添夜夜夜添高潮| 亚洲乱码日产精品BD在线下载| 91精品福利一区二区| 国产 高清 无码 中文| 久久九九久精品国产尤物| 日本韩国欧美一区| 亚洲免费网站在线观看| av影音先锋影院男人站| 黄色免费网址在线观看| 人妻中文字幕无码久久AV爆| 亚洲综合国产在不卡在线| 操中国老太太| 久久精品综合电影| 午夜男人免费福利视频| 99re8久久热在线视频| 国拍在线精品视频免费观看| 披黑人猛躁10次高潮| 一本道dvd久久综合高清免费| 风车动漫(p)_在线观看官网| 美女脱了内裤张开腿让男人桶到爽| 午夜福利院电影| sm主人调教揉花蒂H| 九九大香尹人视频免费| 偷拍自怕亚洲在线第7页| 97国产精品久久精品国产| 寂寞骚妇女被后入式抽插| 日韩AV爽爽爽久久久久久| 6080YYY午夜理论片在线观看| 国产亚洲视频在线| 色午夜日本高清视频www| 97夜夜澡人人爽人人模人人喊| 韩国羞羞秘密教学子开车漫书| 色多多旧版污污破解版|