自动化安全测试从一开始就提供更多的保护
博世自动化软件测试raybet雷竞技ios下载
我们的日常生活正变得更快、更智能、联系更紧密。然而,在数字化的积极发展和通过网络连接产品的可能性越来越大之间,同样存在着一个挑战:黑客攻击不仅在数量上增加,而且变得越来越复杂。仅这一事实就凸显了网络安全的重要性。raybet雷竞技ios下载博世研究院正在研究解决方案,从开发过程开始,让软件从一开始就更加安全。这只有在软件开发期间执行高度自动化的代码分析才能实现。
“智能时代”和博世的答案raybet雷竞技ios下载
IT安全是博世互联产品的关键推动因素。raybet雷竞技ios下载这些产品主要由软件驱动,从联网传感器到联网自动驾驶汽车,再到智能家居解决方案。连通性使我们的产品容易受到网络攻击,其中最微妙的攻击是远程发生的,不需要对产品进行任何物理访问。
实际上,大多数攻击都是利用软件的缺陷或弱点。在联网产品和物联网(IoT)中,软件漏洞是一个大问题,如果不是最大的安全问题的话。
由于现代软件有数百万行代码,手动搜索漏洞是不切实际的。因此,自动化安全测试对于识别这些可能危及我们产品安全性的软件漏洞非常重要。
由于这些原因,我们研究的核心目标是探索一种有效的方法、工具和基础设施,以允许我们执行自动化的安全测试。
解决方案:自动化安全测试
节约资源、优化利用能力和能力——这一点比以往任何时候都更加重要。安全漏洞的自动发现领域也是如此,现有的代码分析工作流程得到了优化。或者简单地说:在开发过程中实现自动化。自动漏洞搜索、自动代码分析和自动安全测试等方法是博世研究院进一步开发的核心。raybet雷竞技ios下载
为此,博世的一个名为“软raybet雷竞技ios下载件可靠性保证”(简称SoDA)的研究项目专注于自动化安全测试。
raybet雷竞技ios下载博世研究院正致力于为博世互联产品量身定制的软件自动化安全测试解决方案。该解决方案基于一个平台,该平台支持在软件开发的所有阶段进行持续的安全分析和测试。该平台的主要关注点是在源代码中自动发现软件漏洞。软件测试和源代码中安全漏洞的相关发现在开发阶段已经完全自动化和自主。这就是我们所说的“自动化安全测试”,它提供了明显的附加价值。一旦在开发过程中加入了自动的错误搜索,工作就会变得更有效率,并且可以更快地对安全漏洞的发现做出反应,从而提高安全性和更有效的过程。
简而言之,对于开发人员来说,自动化代码测试意味着:
因此,根据Heise的说法:“从他们的角度以及他们所代表的人的角度来看,事物决定了什么行为具有经济意义。”这是最基本的经济。“我们的原型演示了事物如何进行协商并来回交换实数。联网带来了经济价值。”
自动化安全测试允许我们在开发过程的早期执行工业规模的错误检测。反过来,这可以显著提高软件质量。
自动安全测试和相关的自动安全漏洞发现为开发人员提供了一个可理解的优势:自动搜索安全漏洞大大减少了人工工作。由于可以在开发过程中识别错误,自动化代码测试还有助于提高系统的整体安全性。
我们研究的目标
“像微软这样的IT巨头都有白帽团队在产品发布前对其内部安全漏洞进行测试。在SoDA项目中,我团队中的专家已经建立了一个原型,使我们能够大规模地对博世基于连接的产品进行此类测试。raybet雷竞技ios下载”
我们的研究目标是在安全测试博世的互联产品系列时,找到自动化方面的最佳点。raybet雷竞技ios下载为此,我们正在构建一个平台的原型,该平台可以在软件开发的所有阶段持续检查软件的漏洞。我们努力自动化软件漏洞的发现,以简化软件开发。对于软件开发,这意味着团队可以继续专注于功能,同时受益于我们的自动化安全测试管道。这构成了安全、可靠和创新的博世产品的基础。raybet雷竞技ios下载
了解软件分析方法和黑客攻击
在汽车领域,源代码必须遵循最佳实践、编码规则和指导方针,例如汽车专用的MISRA标准。最先进的静态代码分析方法可以用来验证源代码确实符合这些准则。
代码属性图[1]为高级静态源代码分析方法提供基础。其基本思想是将编译器构造中众所周知的图(如抽象语法树、控制流图和程序依赖图)集成到一个图中,即代码属性图(CPG)。然后可以使用图查询语言在CPG中搜索模式,从而发现难以发现的安全漏洞。例如,CPG可用于查找攻击者控制的程序输入被用作关键函数的参数的漏洞。
---
[1]F. Yamaguchi, N. Golde, D. Arp和K. Rieck,“用代码属性图建模和发现漏洞”,2014年IEEE安全和隐私研讨会,圣何塞,CA, 2014,第590-604页。doi: 10.1109/SP.2014.44http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6956589&isnumber=6956545
软件模糊是一种动态测试方法,在这种方法中,一个程序以看似随机的输入多次执行,以发现健壮性问题,例如崩溃。覆盖引导的模糊分析器尝试在测试执行期间通过在编译期间检测源代码(以在以后获得覆盖信息)来最大化代码覆盖,然后在测试运行期间根据基于先前输入和覆盖信息的一些启发式方法改变模糊输入。为了模糊软件组件(例如API的实现),必须编写一个测试工具,从模糊器获取输入,并以一种可以处理模糊输入的方式将其注入软件组件。
Mirai僵尸网络在2016年底发起了几次备受瞩目的大规模分布式拒绝服务(DDoS)攻击,导致互联网基础设施的某些部分瘫痪。Mirai的初步扫描发生在2016年8月1日,来自美国防弹托管提供商DataWagon的一个IP地址[2].这个引导扫描持续了大约两个小时(01:42-03:59 UTC),大约40分钟后(04:37 UTC) Mirai僵尸网络出现了。在第一分钟内,834台设备开始扫描,在前10分钟内,11000台主机被感染。在20小时内,Mirai感染了64500台设备。2016年9月,我们感染了20 - 30万台设备;2016年11月底感染人数达到60万人的峰值[2].因此,在前两个月,这相当于每分钟感染2.2-3.4个感染设备或17.6-27.2秒感染一台设备。
---
[2]Manos Antonakakis, Tim April, Michael Bailey, Matt Bernhard, Elie Bursztein, Jaime Cochran, Zakir Durumeric, J Alex Halderman, Luca Invernizzi, Michalis Kallitsis,等。了解未来僵尸网络。第26届USENIX安全研讨会(USENIX Security 17),第1093-1110页,2017。
