在工業(yè)和消費(fèi)環(huán)境中，通過連接設(shè)備聽到安全漏洞和黑客攻擊似乎很常見。我們從銷售安全解決方案（無論是硬件還是軟件）的供應(yīng)商那里聽到的一個(gè)共同主題是，安全通常是嵌入式系統(tǒng)開發(fā)過程中的事后考慮，或者他們的設(shè)計(jì)團(tuán)隊(duì)中沒有足夠的安全專業(yè)知識(shí)，特別是在擁有實(shí)施安全的正確知識(shí)和技能。

我們最近強(qiáng)調(diào)了物聯(lián)網(wǎng) (IoT) 設(shè)備的安全性是如何被忽視的，盡管連接設(shè)備的巨大增長。正如幫助提高開發(fā)人員安全編碼技能的公司 Secure Code Warrior 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Matias Madou 最近指出的那樣，解決這個(gè)問題的一個(gè)關(guān)鍵部分是開發(fā)安全的嵌入式代碼。他評(píng)論說：“軟件就在我們身邊，我們很容易忘記我們是多么依賴代碼行來完成所有這些聰明的事情，這些事情為我們提供了如此多的創(chuàng)新和便利。就像基于 Web 的軟件、API 和移動(dòng)設(shè)備一樣，如果嵌入式系統(tǒng)中的易受攻擊的代碼被攻擊者在野外發(fā)現(xiàn)，它就可以被利用?！?/p>

馬蒂亞斯·馬杜

他認(rèn)為，就像所有其他類型的軟件一樣，物聯(lián)網(wǎng)設(shè)備中的代碼可能成為潛在的常見漏洞的溫床，這些漏洞在產(chǎn)品上線之前可能未被發(fā)現(xiàn)。他說：“開發(fā)人員不是安全專家，任何公司也不應(yīng)該期望他們扮演這個(gè)角色，但他們可以配備更強(qiáng)大的武器庫來應(yīng)對(duì)與他們相關(guān)的威脅。隨著我們的技術(shù)需求不斷發(fā)展，嵌入式系統(tǒng)（通常用 C 和 C++ 編寫）將得到更頻繁的使用，并且在這種環(huán)境中為開發(fā)人員提供有關(guān)工具的專門安全培訓(xùn)至關(guān)重要?！?/p>

一個(gè)真實(shí)的例子是今年早些時(shí)候強(qiáng)調(diào)的配置服務(wù)器代碼漏洞，它可以對(duì) Cosori 智能空氣炸鍋進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊，這是一種支持 WiFi 的廚房電器，允許用戶遠(yuǎn)程激活設(shè)備、查找食譜指南和通過移動(dòng)應(yīng)用程序監(jiān)控烹飪狀態(tài)。風(fēng)險(xiǎn)在于威脅行為者可以遠(yuǎn)程將溫度升高到危險(xiǎn)水平。

代碼安全性至關(guān)重要的不僅僅是空氣炸鍋和連接 Wi-Fi 的設(shè)備。例如，車輛特別復(fù)雜，具有多個(gè)車載嵌入式系統(tǒng)來處理多種功能：從自動(dòng)雨刷到發(fā)動(dòng)機(jī)和制動(dòng)功能的一切。除此之外，還有越來越多的通信技術(shù)，如 Wi-Fi、藍(lán)牙和 GPS；因此，聯(lián)網(wǎng)車輛代表了一個(gè)復(fù)雜的數(shù)字基礎(chǔ)設(shè)施，該基礎(chǔ)設(shè)施暴露于多種攻擊媒介。

麻豆強(qiáng)調(diào)，雖然 C 和 C++ 編程語言“按照今天的標(biāo)準(zhǔn)來看是老生常談”，但它們?nèi)匀粡V泛用于當(dāng)今大多數(shù)聯(lián)網(wǎng)設(shè)備中。他評(píng)論道：“盡管這些語言有著相當(dāng)古老的根源——并且在注入缺陷和緩沖區(qū)溢出等常見問題方面表現(xiàn)出類似的漏洞行為——但開發(fā)人員要想真正成功地緩解嵌入式系統(tǒng)中的安全漏洞，他們必須親身體驗(yàn)“

為了滿足這一需求，Secure Code Warrior 為開發(fā)人員發(fā)布了新的培訓(xùn)內(nèi)容，讓他們能夠親身體驗(yàn)汽車、醫(yī)療和國防行業(yè)常用的嵌入式 C 和 C++ 語言的代碼漏洞。該公司已將其添加到其學(xué)習(xí)平臺(tái)中，允許使用嵌入式系統(tǒng)的組織提高他們的開發(fā)人員群體的技能，幫助他們?cè)谌粘Ｈ蝿?wù)中安全地編碼。

該平臺(tái)符合 MISRA 等關(guān)鍵嵌入式系統(tǒng)安全組織詳細(xì)說明的指導(dǎo)方針，以實(shí)現(xiàn)現(xiàn)實(shí)世界的安全編碼技能，并從開發(fā)過程的一開始就將軟件安全放在首位。

麻豆說：“從聯(lián)網(wǎng)的冰箱和烤面包機(jī)到我們駕駛的汽車，一切都是由嵌入式系統(tǒng)驅(qū)動(dòng)的。如果該軟件易受攻擊且可能被利用可能會(huì)造成災(zāi)難性的后果，我們很高興能夠提供實(shí)用的、真正的解決方案來減少這些應(yīng)用程序編碼時(shí)的漏洞。開發(fā)人員是使用高質(zhì)量、安全代碼構(gòu)建出色軟件的關(guān)鍵，他們需要被授權(quán)這樣做?！?/p>

除了一系列旨在開發(fā)人員體驗(yàn)和建立積極安全文化的安全工具外，Secure Code Warrior 的嵌入式系統(tǒng)模塊現(xiàn)已上市?！拔覀円呀?jīng)幫助世界各地的組織利用我們的旗艦學(xué)習(xí)平臺(tái)為他們的安全技術(shù)開發(fā)人員提供支持，我們相信這是開發(fā)人員近距離接觸嵌入式系統(tǒng)安全的最全面的解決方案，”麻豆總結(jié)道。

審核編輯 黃昊宇