AUTOSAR TOTAL SOLUTIONS
解決方案
SYNOPSYS Coverity Static Application Security Testing (SAST) Coverity
靜態分析幫助您在編寫代碼時發現代碼中的關鍵缺陷和安全弱點
汽車網絡安全標準和法規中提到”主要審查OEM是否在車輛完整生命週期的各個階段均制定了網絡安全管理流程,以確保汽車全生命週期中都有對應的流程措施,最終用來控制風險。”(from R. 155) “基於R.155之上,但更加關注軟件更新過程中的安全性和可靠性等方面。”(from R. 156)。
終於在 ISO/SAE 21434 給出了實現合規性的方法。ISO/SAE 21434 概述了圍繞網絡安全管理系統(CSMS)的流程要求,以及如何識別應用場景、資產、威脅分析、建模模型、風險評估、測試驗證。
由此可見,網路安全議題會越來越到重視。如今,已有許多組織已經在應用程序安全測試 (AST) 工具上投入了大量資金。 他們在 SDLC 的各個階段都使用各種 AST 工具——靜態應用程序安全測試 (SAST) 和軟件組合分析 (SCA) 通常在構建/開發階段使用,而動態應用程序安全測試 (DAST) 在分期期間發現模擬生產條件下的問題。 此外,在每一類 AST 工具中,檢測功能以及所支持的應用程序和編程語言的類型因供應商而異。 每個工具都會搜索特定類型的軟件缺陷、可利用性和問題源,因此任何孤立的測試工具都會發現有限範圍的潛在漏洞。
SYNOPSYS的Coverity 靜態應用程序安全測試(SAST) 幫助開發人員構建更好的代碼而不減慢他們的速度。Coverity 與 Code Sight™ IDE 插件配合使用,使開發人員能夠在編寫代碼時發現並修復安全和質量缺陷。快速準確的增量分析在後台運行以最大限度地減少中斷,直接在 IDE 中為開發人員提供實時結果,包括 CWE 信息、補救指南和相關安全培訓。
靜態應用程序安全測試 (SAST)
- 分析應用程序源代碼以獲取指示安全性的編碼和設計條件漏洞。
- SAST 解決方案在非運行狀態下從“內到外”分析應用程序。
靜態分析優勢
- 早期檢測:可以在工作的可執行文件準備就緒之前發現缺陷
- 無測試用例:自動分析所有路徑
- 快速分析非常大的代碼庫
- 確定性:相同代碼庫的分析 = 相同的結果