陆续更新一些最近在Automotive Security方面的资料和心得。
1. Overview
1.1. Software Engineering Process
Introduction -> Concept Refinement -> Development -> Industrialization -> Product Validation -> Production Ramp-Up
对应的SW-Phase:
Introduction -> Concept Refinement -> Prototype Planning & Specification -> Design & Realization -> Integration & Test ->Industrialization Support -> Product Validation Support -> Production Ramp-Up Support
其中Prototype Planning & Specification -> Design & Realization -> Integration & Test 形成一个loop。
1.2. Secure Software Development Life Cycle
推荐工具Microsoft Security Development Lifecycle
- Training
Security training
- Requirements
Security requirements analysis
Security & Privacy risk assessment
- Design
Design requirements analysis
Analyze attack possible
Threat modeling
- Implementation
Use secure development tools
Discard unsafe functions
Run static code analysis
- Testing
- Release
- Feedback
1.3. 挑战
- 不确定性。内部,外部环境。商业程序。技术。法律等。
- 严格确保安全性会提高成本
1.4. 已有的一些模型
OWASP, OpenSAMM, BSIMM, ISO21827
2. 需求
Security Requirement详情可参考nist sp 800-53
安全需求分析过程:
- 分析整个系统。软件,硬件,数据,用户案例。
- 确定安全目标。需要考虑股东利益,系统。
- 理解针对安全目标的Threats。
- 分类排序安全目标。
- Refine安全目标。结合Threats。
推荐模型:Microsoft Threat Modeling (STRIDE)
STRIDE基本步骤:
- Use case
- Identify Elements
- Identify Data Flow Diagrams (DFDs)
- Add trust boundaries
- System characterization
- Threat matrix
- Refinement
Security Risk Analysis
推荐模型DREAD, ETSI 102165-1 TVRA, Heavens-Model, EVITA-Model
3. 开发
常见软件漏洞
内存溢出, 整型溢出, Command injection
- Common Weakness Enumeration (CWE)
- Open Web Application Security Project (OWASP)
- 24 Deadly Sins of Software Security
Secure Coding标准和评估
标准:
- MISAR
- CERT
- DISA, STIGs
评估
- CWE
- OWASP Top 10
Coverity, ECLAIR, Grammatech, Gimpel Lint, HP Fortify, Klocwork, Parasoft, QAC, Veracode
版权所有,侵权必究,如需使用请与作者本人联系。
Automotive Security的一些资料和心得(1):Security Engineering的更多相关文章
-
Automotive Security的一些资料和心得(2):Cryptography
1. Security Goal - Confidentiality - Integrity - Availability - Authenticity - Non-repudiation - Aut ...
-
Automotive Security的一些资料和心得(8):Hardware Security Module (HSM)
1. Introduction - 保护软件的安全性措施,作为值得信赖的安全锚,- 安全地生成,存储和处理安全性关键材料屏蔽任何潜在的恶意软件,?- 通过运用有效的限制硬件篡改攻击的可能性篡改保护措施 ...
-
Automotive Security的一些资料和心得(7):AUTOSAR和Security
1. 密码模块[1] 密码模块在Services Layer Configurable and common access to 密码子程序 硬件支持密码模块 2. 应用 应用和密码子程序分离 Cry ...
-
Automotive Security的一些资料和心得(5):Privacy
1. Introduction 1.1 "Customers own their data and we can be no more than the trsted stewards of ...
-
Automotive Security的一些资料和心得(4):Automotive Safeguards
通常一辆汽车会包括超过80个ECUs.所有软件代码大小正在快速增加,将会超过1GB.软件protection是必不可少的. 1. 软件保护 1.1. 安全boot Software violating ...
-
Automotive Security的一些资料和心得(3):Vehicular Security技术
1. Overview 1.1. Secure Hardware Extension (SHE) 基本结构:ECU里面有一块单独的Secure Zone.Secure Zone里面是SHE模块.SHE ...
-
Automotive Security的一些资料和心得(6):AUTOSAR
1.1 Introduction AUTOSAR(汽车开放系统架构)是一个开放的,标准化的汽车软件架构,由汽车制造商,供应商和开发工具共同开发.它联合了汽车OEM ,供应商和开发工具供应商,其目标是创 ...
-
REST Security with JWT using Java and Spring Security
Security Security is the enemy of convenience, and vice versa. This statement is true for any system ...
-
Spring Security(十九):6. Security Namespace Configuration
6.1 Introduction Namespace configuration has been available since version 2.0 of the Spring Framewor ...
随机推荐
-
爬虫requests模块 1
让我们从一些简单的示例开始吧. 发送请求¶ 使用 Requests 发送网络请求非常简单. 一开始要导入 Requests 模块: >>> import requests 然后,尝试 ...
-
JS中变量名和函数名重名
今天骚凯问了一道变量名冲突的题目,感觉很有意思,顺便也复习一下预解析的一些知识,有不对的地方忘前辈大神指正,题目是这样的: var a=100; function a(){ console.log(a ...
-
移动应用开发过程中需要哪些IOS APP工具
虽说如今要开发一款IOS app应用软件已经不是什么难事,app开发技术已经发展成熟,所以要制作一款适用于苹果IOS智能操作系统的app软件也挺容易的了.不过对于开发者来说,可以通过一些app工具来更 ...
-
黑马程序员——OC的内存管理学习小结
内存管理在Objective-C中的重要性就像指针在C语言中的重要程序一样. 虽然作为一门高级语言,但OC却没有内存回收机制.这就需要开发者来对动态内存进行管理.OC中内存管理的范围是:任何继承了NS ...
-
qt简单界面更新代码(菜鸟级)(部分代码)
qt简单界面更新代码(菜鸟级)(部分代码)self.timers_1=QtCore.QTimer(self)self.timers_1.timeout.connect(self.min_1)self. ...
-
python自学笔记(一)简单了解python
脚本解释型语言的内部机制 python先将脚本编译成字节码文件(pyc,pyo) python虚拟机解释并运行字节码文件 编译型语言的内部机制 先将源代码编译成机器码(机器能读懂的代码),生成可执行文 ...
-
vs2013内置IISExpress相关问题
问题描述,以前做的程序迁移到vs2013后出现500.22问题. HTTP 错误 500.22 - Internal Server Error 检测到在集成的托管管道模式下不适用的 ASP.NET 设 ...
-
NPOI office 组件资料汇总 (excel, word)
POI 是一套用Java写成的库,能够帮助开发者在没有安装微软Office的情况下读写Office 的文件,支持的文件格式包括xls, doc, ppt等. NPOI 是POI的.net 版本. 最新 ...
-
Web程序员必备的CSS工具
对于web开发来说,CSS是最有效的美化页面.设置页面布局的技术.但问题是,CSS是一种标记性语言,语法结构非常的松散.不严谨.WEB程序员会经常发现自己的或别人的CSS文件里有大量的冗余代码或错误或 ...
-
【转】深入理解Android之View的绘制流程
概述 本篇文章会从源码(基于Android 6.0)角度分析Android中View的绘制流程,侧重于对整体流程的分析,对一些难以理解的点加以重点阐述,目的是把View绘制的整个流程把握好,而对于特定 ...