@寒
2年前 提问
1个回答
工控系统安全编码的实现解决了哪些问题
一颗小胡椒
2年前
工控系统安全编码的实现解决了以下问题:
架构能够为你提供用于在软件边界、API函数层和数据流中定义物理安全和信息安全控制手段的框架。找到最适合你的解决方案的可用参考架构。
开发人员需要了解预期用户使用方法、威胁模型和攻击向量,并接受SDLC方面的培训。
基于来自MISRA、NIST、CERT、CWE、NASA和OWASP的现有标准,定义安全和可靠性准则与策略。对于这些标准的执行遵守情况,可以利用同行评议、静态动态代码分析和测试来进行验证。
强烈建议实现自动化。利用工具作业和自动化处理来组织开发工作流程,并且很容易检测到质量下降的现象。
评估开放源码与第三方软件和库相互对比的安全态势。在某些情况下,将开放源码和第三方软件混合使用可能是一种更好的选择。
避免出现缓冲区/数据类型溢出、空指针释放、内存泄漏、未初始化数据使用、暴露权限提升情景的平台/操作系统特性、并发性以及不必要的功能。
实施可测验证控制手段和审计跟踪,比如结构化覆盖、静态动态代码分析、单元/系统鲁棒性测试以及代码覆盖分析。