Automotive Security的一些资料和心得(1):Security Engineering

时间:2022-08-27 10:03:38

陆续更新一些最近在Automotive Security方面的资料和心得。

1. Overview

1.1. Software Engineering Process

PLC-Phases:

Introduction -> Concept Refinement -> Development -> Industrialization -> Product Validation -> Production Ramp-Up
对应的SW-Phase:

Introduction -> Concept Refinement -> Prototype Planning & Specification -> Design & Realization -> Integration & Test ->Industrialization Support -> Product Validation Support -> Production Ramp-Up Support

其中Prototype Planning & Specification -> Design & Realization -> Integration & Test 形成一个loop

1.2. Secure Software Development Life Cycle

推荐工具Microsoft Security Development Lifecycle

- Training

Security training

- Requirements

Security requirements analysis

Security & Privacy risk assessment

- Design

Design requirements analysis

Analyze attack possible

Threat modeling

- Implementation

Use secure development tools

Discard unsafe functions

Run static code analysis

- Testing

- Release

- Feedback

1.3. 挑战

- 不确定性。内部,外部环境。商业程序。技术。法律等。
- 严格确保安全性会提高成本

1.4. 已有的一些模型

OWASP, OpenSAMM, BSIMM, ISO21827

Automotive Security的一些资料和心得(1):Security Engineering

2. 需求

Security Requirement详情可参考nist sp 800-53

安全需求分析过程:

- 分析整个系统。软件,硬件,数据,用户案例。

- 确定安全目标。需要考虑股东利益,系统。

- 理解针对安全目标的Threats。

- 分类排序安全目标。

- Refine安全目标。结合Threats。

推荐模型:Microsoft Threat Modeling (STRIDE)

STRIDE基本步骤:

- Use case

- Identify Elements

- Identify Data Flow Diagrams (DFDs)

- Add trust boundaries

- System characterization

- Threat matrix

- Refinement

Security Risk Analysis

推荐模型DREAD, ETSI 102165-1 TVRA, Heavens-Model, EVITA-Model

ISO 2700x

3. 开发

常见软件漏洞

内存溢出, 整型溢出, Command injection

- Common Weakness Enumeration (CWE)

- Open Web Application Security Project (OWASP)

- 24 Deadly Sins of Software Security

Secure Coding标准和评估

标准:

- MISAR

- CERT

- DISA, STIGs

评估

- CWE

- OWASP Top 10

Static Code Analysis Tools

Coverity, ECLAIR, Grammatech, Gimpel Lint, HP Fortify, Klocwork, Parasoft, QAC, Veracode

版权所有,侵权必究,如需使用请与作者本人联系。

Automotive Security的一些资料和心得(1):Security Engineering的更多相关文章

  1. Automotive Security的一些资料和心得(2):Cryptography

    1. Security Goal - Confidentiality - Integrity - Availability - Authenticity - Non-repudiation - Aut ...

  2. Automotive Security的一些资料和心得(8):Hardware Security Module (HSM)

    1. Introduction - 保护软件的安全性措施,作为值得信赖的安全锚,- 安全地生成,存储和处理安全性关键材料屏蔽任何潜在的恶意软件,?- 通过运用有效的限制硬件篡改攻击的可能性篡改保护措施 ...

  3. Automotive Security的一些资料和心得(7):AUTOSAR和Security

    1. 密码模块[1] 密码模块在Services Layer Configurable and common access to 密码子程序 硬件支持密码模块 2. 应用 应用和密码子程序分离 Cry ...

  4. Automotive Security的一些资料和心得(5):Privacy

    1. Introduction 1.1 "Customers own their data and we can be no more than the trsted stewards of ...

  5. Automotive Security的一些资料和心得(4):Automotive Safeguards

    通常一辆汽车会包括超过80个ECUs.所有软件代码大小正在快速增加,将会超过1GB.软件protection是必不可少的. 1. 软件保护 1.1. 安全boot Software violating ...

  6. Automotive Security的一些资料和心得(3):Vehicular Security技术

    1. Overview 1.1. Secure Hardware Extension (SHE) 基本结构:ECU里面有一块单独的Secure Zone.Secure Zone里面是SHE模块.SHE ...

  7. Automotive Security的一些资料和心得(6):AUTOSAR

    1.1 Introduction AUTOSAR(汽车开放系统架构)是一个开放的,标准化的汽车软件架构,由汽车制造商,供应商和开发工具共同开发.它联合了汽车OEM ,供应商和开发工具供应商,其目标是创 ...

  8. REST Security with JWT using Java and Spring Security

    Security Security is the enemy of convenience, and vice versa. This statement is true for any system ...

  9. Spring Security(十九):6. Security Namespace Configuration

    6.1 Introduction Namespace configuration has been available since version 2.0 of the Spring Framewor ...

随机推荐

  1. 爬虫requests模块 1

    让我们从一些简单的示例开始吧. 发送请求¶ 使用 Requests 发送网络请求非常简单. 一开始要导入 Requests 模块: >>> import requests 然后,尝试 ...

  2. JS中变量名和函数名重名

    今天骚凯问了一道变量名冲突的题目,感觉很有意思,顺便也复习一下预解析的一些知识,有不对的地方忘前辈大神指正,题目是这样的: var a=100; function a(){ console.log(a ...

  3. 移动应用开发过程中需要哪些IOS APP工具

    虽说如今要开发一款IOS app应用软件已经不是什么难事,app开发技术已经发展成熟,所以要制作一款适用于苹果IOS智能操作系统的app软件也挺容易的了.不过对于开发者来说,可以通过一些app工具来更 ...

  4. 黑马程序员——OC的内存管理学习小结

    内存管理在Objective-C中的重要性就像指针在C语言中的重要程序一样. 虽然作为一门高级语言,但OC却没有内存回收机制.这就需要开发者来对动态内存进行管理.OC中内存管理的范围是:任何继承了NS ...

  5. qt简单界面更新代码(菜鸟级)(部分代码)

    qt简单界面更新代码(菜鸟级)(部分代码)self.timers_1=QtCore.QTimer(self)self.timers_1.timeout.connect(self.min_1)self. ...

  6. python自学笔记(一)简单了解python

    脚本解释型语言的内部机制 python先将脚本编译成字节码文件(pyc,pyo) python虚拟机解释并运行字节码文件 编译型语言的内部机制 先将源代码编译成机器码(机器能读懂的代码),生成可执行文 ...

  7. vs2013内置IISExpress相关问题

    问题描述,以前做的程序迁移到vs2013后出现500.22问题. HTTP 错误 500.22 - Internal Server Error 检测到在集成的托管管道模式下不适用的 ASP.NET 设 ...

  8. NPOI office 组件资料汇总 (excel, word)

    POI 是一套用Java写成的库,能够帮助开发者在没有安装微软Office的情况下读写Office 的文件,支持的文件格式包括xls, doc, ppt等. NPOI 是POI的.net 版本. 最新 ...

  9. Web程序员必备的CSS工具

    对于web开发来说,CSS是最有效的美化页面.设置页面布局的技术.但问题是,CSS是一种标记性语言,语法结构非常的松散.不严谨.WEB程序员会经常发现自己的或别人的CSS文件里有大量的冗余代码或错误或 ...

  10. 【转】深入理解Android之View的绘制流程

    概述 本篇文章会从源码(基于Android 6.0)角度分析Android中View的绘制流程,侧重于对整体流程的分析,对一些难以理解的点加以重点阐述,目的是把View绘制的整个流程把握好,而对于特定 ...

相关文章