New-Tech Magazine | Sep 2022 | Digital Edition

Synopsys קרדיט תמונה:

פתרונותפרקטיים לתהליך פיתוחתוכנהמאובטחת ISO/SAE 21434 לטכנולוגיות רכב בעקבותתקן ), אסטרטג ראשי לאבטחת טכנולוגיות רכב, Dr. Dennis Kengo Oka ד"ר דניס קנגו אוקה ( Synopsys Software Integrity Group

"רכבי כביש ISO / SAE 21434 קן – הנדסת אבטחת-סייבר" מציין מגוון של דרישות והמלצות הנדסיות עבור ניהול סיכוני אבטחת סייבר בשלבי הרעיון, פיתוח המוצר, הייצור, התפעול, התחזוקה וההוצאה משירות של מערכות חשמליות ואלקטרוניות ברכבי כביש. התקן כולל גם את הרכיבים והממשקים של מערכות ISO / SAE FDIS 21434 אלה. בעוד תקן מספק מבט יותר הוליסטי על אבטחת סייבר ובכלל זה תיאורים של דרישות רבות, פעילויות ותוצרי עבודה של אבטחת סייבר, הן ברמה הארגונית והן ברמת הפרויקט, מאמר זה מתמקד בפתרונות פרקטיים לאבטחת סייבר עבור תהליך של פיתוח תוכנה מאובטחת. באופן ספציפי יותר, המאמר מתמקד בפתרונות בדיקה ) העוסקים AppSec לאבטחת יישומים ( בגורמים המובילים לחולשות ולפגיעויות בתוכנה למערכות רכב. על פי סקר אבטחת automative security טכנולוגיות רכב ( ), גורמים אלה כוללים שגיאות survey בכתיבת קוד, אי ביצוע בדיקות, ושימוש ברכיבים פגיעים של תוכנת קוד פתוח .) Open Source Software – OSS ( ת

בקווים מנחים לכתיבת קוד במקרה שבו לא ניתן מענה מספק לאבטחת סייבר באמצעות שפת התכנות עצמה. כלים אוטומטיים לניתוח סטטי יכולים לנתח את קוד המקור בלי להריץ את התוכנה. משמעות הדבר היא שניתן להימנע מפעילויות ידניות להגדרת מקרי בדיקה. כלים אלה יכולים לסייע למצוא ממצאים , דליפת משאבים, buffer overflows כגון השחתת זיכרון ופגמים אחרים בקוד. בנוסף לכך, כלים לניתוח סטטי יכולים לבדוק את התוכנה ביחס לקווים מנחים רלבנטיים , MISRA C / C ++ לכתיבת קוד, דוגמת . CERT C / C ++ , ו- AUTOSTAR C ++ בדיקת רכיבי תוכנה ] RC -10-12[ בנוגע לבדיקות תוכנה, המלצה קובעת שיש לבצע בדיקת רכיבי תוכנה בכדי לאשר שחולשות ופגיעויות בלתי מזוהות שנותרות ברכיב התוכנה מצומצמות לכדי RQ רמה מזערית. יתר על כן, המלצה [- ] קובעת שניתן להשתמש בבדיקות 11-01 חדירה כפעילות תיקוף בכדי להדגים את ההתאמה והשגת יעדי אבטחת הסייבר. קיימות מספר שיטות בדיקה שניתן

פתרונות לביסוס תהליך של פיתוח תוכנה מאובטחת קיים מגוון של פתרונות היכולים לשמש ארגונים בתחום הרכב במהלך מחזור החיים של פיתוח התוכנה, בכדי לסייע לזהות ולתקן פגיעויות. מכיוון שלארגונים בתחום הרכב יש לעיתים קרובות משאבי אבטחה מוגבלים, נתמקד כאן בפתרונות אוטומטיים לאבטחת יישומים ולא מספק סקירה של 1 בפעילויות ידניות. איור V האופן שבו פתרונות אלה מותאמים ל-- ISO / ולסעיפים הרלבנטיים בתקן model . SAE FDIS 21434 ] RQ -10-09[ בנוגע לכתיבת קוד, דרישה קובעת ISO / SAE FDIS 21434 בתקן שפעילויות אינטגרציה ואימות נדרשות לאמת שהמימוש והאינטגרציה של רכיבים ימלאו את המפרטים המוגדרים לאבטחת ] מציינת שניתן RQ -10-10[ סייבר. דרישה להשתמש בניתוח סטטי כפעילות אימות ]. יתר על כן, RQ -10-09[ עבור דרישה ] קובעת שיש להשתמש RQ -10-05[ דרישה פעילויות אינטגרציה ואימות

New-Tech Magazine l 52