安全编码技能对于解决嵌入式软件安全问题至关重要

在工业和消费环境中，通过连接设备听到安全漏洞和黑客攻击似乎很常见。我们从销售安全解决方案（无论是硬件还是软件）的供应商那里听到的一个共同主题是，安全通常是嵌入式系统开发过程中的事后考虑，或者他们的设计团队中没有足够的安全专业知识，特别是在拥有实施安全的正确知识和技能。

我们最近强调了物联网 (IoT) 设备的安全性是如何被忽视的，尽管连接设备的巨大增长。正如帮助提高开发人员安全编码技能的公司 Secure Code Warrior 的联合创始人兼首席技术官 Matias Madou 最近指出的那样，解决这个问题的一个关键部分是开发安全的嵌入式代码。他评论说：“软件就在我们身边，我们很容易忘记我们是多么依赖代码行来完成所有这些聪明的事情，这些事情为我们提供了如此多的创新和便利。就像基于 Web 的软件、API 和移动设备一样，如果嵌入式系统中的易受攻击的代码被攻击者在野外发现，它就可以被利用。”

马蒂亚斯·马杜

他认为，就像所有其他类型的软件一样，物联网设备中的代码可能成为潜在的常见漏洞的温床，这些漏洞在产品上线之前可能未被发现。他说：“开发人员不是安全专家，任何公司也不应该期望他们扮演这个角色，但他们可以配备更强大的武器库来应对与他们相关的威胁。随着我们的技术需求不断发展，嵌入式系统（通常用 C 和 C++ 编写）将得到更频繁的使用，并且在这种环境中为开发人员提供有关工具的专门安全培训至关重要。”

一个真实的例子是今年早些时候强调的配置服务器代码漏洞，它可以对 Cosori 智能空气炸锅进行远程代码执行攻击，这是一种支持 WiFi 的厨房电器，允许用户远程激活设备、查找食谱指南和通过移动应用程序监控烹饪状态。风险在于威胁行为者可以远程将温度升高到危险水平。

代码安全性至关重要的不仅仅是空气炸锅和连接 Wi-Fi 的设备。例如，车辆特别复杂，具有多个车载嵌入式系统来处理多种功能：从自动雨刷到发动机和制动功能的一切。除此之外，还有越来越多的通信技术，如 Wi-Fi、蓝牙和 GPS；因此，联网车辆代表了一个复杂的数字基础设施，该基础设施暴露于多种攻击媒介。

麻豆强调，虽然 C 和 C++ 编程语言“按照今天的标准来看是老生常谈”，但它们仍然广泛用于当今大多数联网设备中。他评论道：“尽管这些语言有着相当古老的根源——并且在注入缺陷和缓冲区溢出等常见问题方面表现出类似的漏洞行为——但开发人员要想真正成功地缓解嵌入式系统中的安全漏洞，他们必须亲身体验“

为了满足这一需求，Secure Code Warrior 为开发人员发布了新的培训内容，让他们能够亲身体验汽车、医疗和国防行业常用的嵌入式 C 和 C++ 语言的代码漏洞。该公司已将其添加到其学习平台中，允许使用嵌入式系统的组织提高他们的开发人员群体的技能，帮助他们在日常任务中安全地编码。

该平台符合 MISRA 等关键嵌入式系统安全组织详细说明的指导方针，以实现现实世界的安全编码技能，并从开发过程的一开始就将软件安全放在首位。

麻豆说：“从联网的冰箱和烤面包机到我们驾驶的汽车，一切都是由嵌入式系统驱动的。如果该软件易受攻击且可能被利用可能会造成灾难性的后果，我们很高兴能够提供实用的、真正的解决方案来减少这些应用程序编码时的漏洞。开发人员是使用高质量、安全代码构建出色软件的关键，他们需要被授权这样做。”

除了一系列旨在开发人员体验和建立积极安全文化的安全工具外，Secure Code Warrior 的嵌入式系统模块现已上市。“我们已经帮助世界各地的组织利用我们的旗舰学习平台为他们的安全技术开发人员提供支持，我们相信这是开发人员近距离接触嵌入式系统安全的最全面的解决方案，”麻豆总结道。

审核编辑 黄昊宇