New-Tech Magazine | Sep 2022 | Digital Edition

ליישם בכדי לבצע סוג זה של בדיקה, ובכלל ,) vulnerability scanning זאת סריקת פגיעות ( ובדיקות חדירה. Fuzz testing סריקת פגיעות עושה שימוש בידע על פגיעויות ידועות או דפוסי מתקפה ידועים בכדי לזהות פגיעויות במערכת היעד. לדוגמא, כלים לניתוח מרכיבי תוכנה ) Software Composition Analysis – SCA ( יכולים לזהות פגיעויות ידועות ברכיבי במערכת היעד. הסריקה האוטומטית OSS של קוד המקור או של הרכיבים הבינאריים מזהה את רכיבי הקוד הפתוח, את הגרסאות של כל רכיב, ואת הפגיעויות הידועות הקשורות אליהם. בעוד כלים לסריקת פגיעות עושים בדרך כלל שימוש במסד נתונים של פגיעויות ידועות Fuzz testing או של דפוסי מתקפה ידועים, היא בדיקה מרחיקת לכת יותר שמזהה פגיעויות בלתי ידועות באמצעות יצירת קלט פגום (לא חוקי) שמסופק מאוחר יותר למערכת היעד. יכולים לזהות פגיעויות Fuzz testing כלים ל בלתי ידועות במגוון מימושי פרוטוקול CAN , CAN - FD , Automotive ובכללם , בנוסף לזיהוי Bluetooth , ו- Ethernet , Wi - Fi פגיעויות בפרוטוקולים מהשכבות הגבוהות ISO - TP , UDS , DoIP , gPTP , יותר דוגמת , ועוד. IP , TCP , HFP , A 2 DP ניתן להשתמש בכלים אוטומטיים בכדי . בניגוד fuzz testing לבצע סריקת פגיעות ו לכך, בדיקות חדירה כוללות בדרך כלל פעילויות ידניות במטרה לפרוץ מטרות אבטחה מסוימות במערכת היעד. ארגונים אף צריכים לבצע ניטור רציף בכדי לגלות איומים חדשים ופגיעויות חדשות הן במהלך פיתוח התוכנה והן אחרי שהמוצר ] קובעת RQ -08-01[ יצא לשוק. דרישה שניתן לנטר מקורות פנימיים וחיצוניים בכדי לאסוף מידע על אבטחת סייבר. יכולים לספק התראות בנוגע SCA כלי OSS לפגיעויות שזוהו לאחרונה ברכיבי כחלק מפעילויות מתמשכות של אבטחת סייבר. הפיקו את המיטב מהכלים שלכם באמצעות אוטומציה חשוב להכיר בכך שכלים אלה כשלעצמם אינם מועילים כמו אוטומציה של הכלים כחלק מפייפליין בתהליך פיתוח התוכנה ). ארגונים Continous Integration – CI ( בתחום הרכב צריכים לבסס תהליכים

ISO/SAE ולסעיפים רלבנטיים בתקן V-model פתרונות המותאמים ל- :1 איור « .FDIS 21434 Synopsys קרדיט:

אבטחת סייבר דורש לעיתים קרובות שינוי תרבותי. יש לשים דגש על אוטומציה בשימוש בכלים בכדי לשלב באופן יעיל ואפקטיבי פעילויות אבטחת סייבר בתוך תהליך פיתוח התוכנה.

הולמים עבור ניתוח סטטי, סריקת , וניטור אבטחת Fuzz testing פגיעות, סייבר, ולשקול גישות לפריסה של כלים אוטומטיים לאבטחת יישומים. מהלכים אלה כוללים החלטות בנוגע לכלים שייכנסו לשימוש, מה לבדוק, אלו סביבות בדיקה נדרשות, ובאיזו תדירות יש לבצע בדיקות. יתר על כן, בכדי להבטיח את היעילות והאפקטיביות של הכלים, ארגונים בתחום הרכב צריכים לשקול לשלב כלים לבדיקת אבטחת יישומים לתוך תהליך פיתוח התוכנה יחד עם כלים אחרים, ובכללם מערכות לניהול קוד מקור, שרתי אוטומציה, ומערכות לאיתור באגים. ארגונים בתחום הרכב אף יכולים לשקול לאמץ פלטפורמות אוטומציה בכדי להריץ כלים לאבטחת יישומים, למצוא קורלציה בין התוצאות ולסייע לתעדף טיפול בפגיעויות, וכן לספק יכולת לראות באופן מרוכז את הסיכונים בנוגע למה שנבדק, מתי הוא נבדק, מה נמצא, ומה תוקן. פיתוח תוכנה מאובטחת לטכנולוגיות רכב עוד היום ISO/SAE 21434 באמצעות כאשר בוחרים בפתרונות עבור תהליך פיתוח תוכנה מאובטחת בתחום הרכב , ארגונים ISO / SAE 21434 העומד בתקן חייבים להיות דינמיים. שילוב של תהליכי

Dr. Dennis ד"ר דניס קנגו אוקה ( « ), אסטרטג ראשי Kengo Oka Synopsys לאבטחת טכנולוגיות רכב, Software Integrity Group Synopsys קרדיט:

53 l New-Tech Magazine