0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

与您一路同行:从代码质量到全面安全

半导体芯科技SiSC 来源:半导体芯科技SiSC 作者:半导体芯科技SiS 2023-12-01 09:07 次阅读

作者:Shawn Prestridge,IAR资深现场应用工程师 / 美国FAE团队负责人

安全一直都是一个非常热门的话题,似乎每周都会听到这样的消息:某某公司如何被入侵,数百万用户的数据被泄露。

我们看到这么多的安全问题,部分原因在于我们对待安全的方式:安全性通常被认为是事后考虑的问题,是在开发结束时才添加到设备上的东西。然而,复杂的系统,尤其是嵌入式系统,有一个很大的攻击面,这让攻击者有机可乘,能够在“盔甲”上找到破绽。如果你去研究大部分黑客试图入侵系统的方式,你很快就会发现,在他们的武器库中,他们最喜欢的手段就是寻找和利用设备的软件漏洞。

如果软件漏洞是黑客所利用的入口,那么我们就需要提高自己的代码质量来解决这个问题。但是,这个问题有多严重,我们能做什么来解决它呢?

代码漏洞容易成为黑客的目标

代码质量糟糕实际上是一个普遍存在的问题,而且有相当多的证据支持这样的说法:糟糕的编码直接导致了漏洞。虽然许多软件工程专家多年来一直在宣扬这一点,但人们第一次真正意识到这一点也许是在2001年,当时红色代码(Code Red)蠕虫对微软的互联网信息服务(IIS)施加了缓冲区溢出攻击。[1]虽然第一个有记载的缓冲区溢出攻击发生在1988年,针对的是Unix的finger指令,但对普通人的影响十分有限,因此没有上头条新闻。

由于红色代码造成了大规模的互联网减速,并在新闻报道中铺天盖地的传播,突然间,我们随处都能看到缓冲区溢出攻击的增加,看上去安全研究人员和黑客都在各种系统(包括嵌入式系统)中到处寻找这些漏洞。利用缓冲区溢出攻击,黑客可以在受影响的系统上运行他们想要运行的任何代码,其目标是使用固定长度的缓冲区来保存文本或数据的一切代码。黑客将缓冲区空间填充到最大,然后在合法缓冲区空间的末端写下可执行代码。然后,被攻击的系统就会执行缓冲区末端的代码,在许多情况下,这就可以使攻击者为所欲为了。[2]

这种类型的攻击之所以成为紧急事件,是因为当时检查和执行缓冲区限制的编码并不普遍,但现在许多编码标准,如mitre.org的通用缺陷列表(Common Weakness Enumeration,CWE),都建议检查缓冲区是否存在这种类型的漏洞。[3]遗憾的是,开发人员在编写代码时普遍都不去寻找这个问题,通常需要代码分析工具来发现这些问题,这样开发人员才会意识到问题的存在并加以修复。像这样一个简单的代码质量改进,就可以消除黑客最常使用的手段之一,从而大大提高代码的安全性。因此,检查并执行代码中的缓冲区长度,这样的编码才是好编码。

不仅仅是缓冲区溢出

然而,问题不仅仅在于缓冲区溢出,这实际上是一个系统性问题,草率的编码通常会导致无数的安全漏洞,而黑客可以利用这些漏洞来入侵系统。美国软件工程学会(SEI)发表的一篇论文将这一点说得非常清楚:

“......质量性能指标为确定高质量产品、预测安全和保障结果提供了依据。通用缺陷列表(CWE)中的许多内容,如编程语言结构的不当使用、缓冲区溢出、验证输入值失败等,都可能与低质量的编码和开发过程有关。提高代码质量是解决一些软件安全问题的必要条件。”[4]

该论文还指出,因为许多安全问题是由软件漏洞引起的,因此可以像处理更普通的编码漏洞一样处理安全问题,您可以应用传统的质量保证技术来帮助解决至少一部分安全问题。

既然正常的软件质量保证过程可以让我们估计系统中剩余的漏洞数量,那么可以对安全漏洞做同样的事情吗?虽然SEI没有确认代码质量和安全性之间的数学关系,但他们确实指出,1%到5%的软件漏洞是安全漏洞,并继续指出,他们的证据表明当安全漏洞被追踪时,他们可以准确地估计系统中的代码质量水平。[4]这最终表明,代码质量是安全的必要条件(但不是充分条件),真正让“安全性可以被视为开发结束时才添加到设备上的东西”这一概念不攻自破。相反,安全性必须贯穿项目的DNA,从设计到编码,一直到生产。

编码标准可提供很大的帮助

许多最常见的安全漏洞都在诸如mitre.org的通用缺陷列表等编码标准中得到了解决,并指出了需要关注的其他方面,如除零错误、数据注入、循环不规则、空指针利用和字符串解析错误。MISRA C和MISRA C++还提倡编码的安全性和可靠性,以防止安全漏洞渗入你的代码。虽然这些编码标准可以捕捉到许多常见的漏洞,但开发人员在编写代码时必须考虑得更长远:黑客是如何利用我刚刚编写的代码的?漏洞在哪里?我是否对输入会是什么样子以及输出会如何使用做了假设?一个好的经验法则是,如果你在做假设,那么这些假设应该变成代码,以确保你所期待的东西实际上就是你所要得到的。如果你不这样做,那么黑客就会出手了。

但是开源软件呢?在设计中使用开源组件的典型论点依赖于“已在使用中被证明”(proven in use)的论点:这么多人使用它,它一定是好的。SEI的同一篇论文对于这个问题也有一些阐述:

“除了免费之外,开源所宣扬的好处之一,就是认为‘有很多人关注源代码意味着安全问题可以很快被发现,任何人都可以修复漏洞,不需要依赖供应商’。然而,现实情况是,如果没能有纪律地、一致地把关注点放在消除漏洞上,安全漏洞和其他漏洞将出现在代码中。”[4]

换句话说,SEI认为,“已在使用中被证明”的论点毫无意义,并且在将质量保证应用于开源代码时,会让人想起Anybody、Somebody、Nobody和Everybody的故事。此外,你的测试并不足以证明代码是令人满意的。SEI表示,像CWE这样的代码质量标准可以发现你代码中的问题,而这些问题往往不会在标准测试中被发现,通常只有在黑客利用漏洞时才会被发现。[4]为了证明这一点,2020年5月,普渡大学的研究人员展示了在Linux、macOS、Windows和FreeBSD中使用的开源USB堆栈的26个漏洞。[5]所以,谈及安全性时,代码质量是关键,并且所有代码都很重要。

代码分析工具有助于遵守标准

在解决代码质量问题上,我们可以做些什么来提高自己应用程序的安全性呢?简单的答案就是使用代码分析工具,这些工具有两种基本类型:静态分析工具和运行时(或动态)分析工具,静态分析只查看应用程序的源代码,而运行时分析则是对代码进行检测,寻找空指针和数据注入方法等漏洞。IAR可以同时提供这两种工具,包括静态分析工具IAR C-STAT和运行时分析工具IAR C-RUN,它们都完全集成在IAR Embedded Workbench开发环境中。高质量的代码分析工具包括对CWE、MISRA和CERT C的检查。CERT C是另外一种编码标准,旨在促进编码安全。这三个规则集共同构成了一个优质组合,有助于实现可提升安全性的编码:一些规则集与其他规则集有重合之处,但也提供了一些独特的功能,可以帮助确保你的代码具有高度的安全性。使用这些标准也有助于确保你拥有最高的代码质量,甚至可能发现代码中的一些潜在漏洞。

高质量的代码就是安全的代码

保证代码质量才能确保代码安全。不要把代码质量的责任推给别人,因为别人的漏洞很可能给你带来安全性方面的噩梦。但希望还是有的,因为代码分析工具可以帮助你在漏洞找麻烦之前迅速发现问题。通往安全的道路总是要经过代码质量这一关口。

审核编辑:汤梓红
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 半导体
    +关注

    关注

    334

    文章

    27367

    浏览量

    218823
  • 代码
    +关注

    关注

    30

    文章

    4788

    浏览量

    68625
收藏 人收藏

    评论

    相关推荐

    afe5803 SPI控制VCAT 8一路单独控制还是只能起控制?

    afe5803SPI控制VCAT 8一路单独控制还是只能起控制? 如何选择digital VCNTL mode,哪里可以找到digital Vcntl相关?
    发表于 12-20 07:04

    DS90UB948软件能控制LVDS信号的幅度,为什么软件调控过后,只有一路的幅度能增大,另外一路没变化?

    DS90UB948软件能控制LVDS信号的幅度,但是为什么软件调控过后,只有一路的幅度能增大,另外一路没变化,求解释
    发表于 12-20 06:19

    AIC3254使用一路mic输入不使用mono mixer时音量要低很多,为什么?怎么解决?

    两个mic输入,用mono mixer把两输入合成一路,再用split分开两输出。 这样输出的声音较之前使用一路mic输入不使用mono mixer时音量要低很多,这是为什么呢?
    发表于 11-05 06:22

    PCM1803的两个参考源(ref1、ref2)精度多少?是否同一路输出?

    请教下,PCM1803的两个参考源(ref1、ref2)精度多少?是否同一路输出?用其中一路校准另外一路是否有意义?
    发表于 10-31 06:39

    PCM1864EVM有8音频输入,可以同时得到这8的每一路信号吗?

    1)PCM1864EVM 有8音频输入,可以同时得到这8的每一路信号吗?如果不能最多能得到几路? 2)PCM1864EVM 的USB插到计算机上,设置为mode2模式 仅有2
    发表于 10-28 06:35

    使用TPA3251搭建双BTL输出功放,一路输出却处于50mW-1W的闪烁跳动状态,为什么?

    将其中一路输出的负载短路,AP上该路输出立刻没有,但另一路输出却处于50mW-1W的闪烁跳动状态。 而我在块参考设计电路板上(OC_ADJ Resistor Value同样使用30K),重复同样的操作,另
    发表于 10-09 08:52

    PCM1861只支持一路立体声输入?

    PCM186x手册看到,软控版本可以对输入的四个通道进行单独选择,选择一路立体声或者选择其中几路立体声进行输入的混合,但是并没看到有关硬控版本的PCM1861的相关说明。是否在硬控模式下
    发表于 09-29 08:47

    西井科技联合成立长三角“一路”高质量发展促进会

    第六届长三角体化发展高层论坛在浙江温州举行,长三角“一路”高质量发展促进会在现场揭牌。该促进会以中国贸促会为业务主管单位,由包括上海西井科技股份有限公司(简称“西井科技”)在内的
    的头像 发表于 09-23 15:24 411次阅读

    运算放大器,芯片电阻电容之类的都样,一路能放大信号,另一路就不能,为什么?

    运算放大器,芯片电阻电容之类的都样,但是一路能放大信号,另一路就不能,这可能使什么原因
    发表于 09-23 07:08

    使用两块AD5412,想要一路电压,一路电流输出,但是配置后 两块芯片还是不能同时分开输出电流和电压,为什么?

    使用两块AD5412,想要一路电压,一路电流输出,但是配置后 两块芯片还是不能同时分开输出电流和电压。 比如:我先配置1号DAC,输出电压,然后再配置2号DAC输出电压,这样两电压是正常的。这个时候改变任意通道,配置成电流,另
    发表于 07-11 07:05

    tc397的dtm模块输出组pwm,可否让其中一路直是高电平或低电平,另一路正常输出pwm呢?

    tc397的dtm模块输出组pwm,可否让其中一路直是高电平或低电平,另一路正常输出pwm
    发表于 07-05 06:43

    一路同行一路风景—拓普联科举办员工入职周年庆祝活动

    、智能穿戴、智能家居、智慧医疗、物联网、5G通信、设备制造商及汽车行业的客户提供概念构思到批量生产的站式跨学科精密零组件解决方案,帮助客户更快更好的实现产品。
    的头像 发表于 06-25 12:12 687次阅读
    <b class='flag-5'>一路</b><b class='flag-5'>同行</b>,<b class='flag-5'>一路</b>风景—拓普联科举办员工入职周年庆祝活动

    一路RS485信号转LoRa和4G输出方案

    本文旨在提出种简单可靠的“一路RS485信号转一路LoRa和一路4G信号输出解决方案”,实现将个RS485输出信号转发到两个不同的设备或
    的头像 发表于 05-09 14:52 836次阅读
    <b class='flag-5'>一路</b>RS485信号转LoRa和4G输出方案

    代码审计怎么做?有哪些常用工具

    代码审计是种通过检查源代码来发现潜在的安全漏洞的方法。 下面是常用的源代码审计工具: 1、Fortify:通过内置的五大主要分析引擎,对
    发表于 01-17 09:35

    使用两片LTM4630可以实现三并联,另一路独立输出吗?

    使用两片LTM4630可以实现三并联(电压为1.0),另一路独立输出吗(电压为1.2V).
    发表于 01-04 07:00