陆续更新一些最近在Automotive Security方面的资料和心得。

1. Overview

1.1. Software Engineering Process

PLC-Phases:

Introduction -> Concept Refinement -> Development -> Industrialization -> Product Validation -> Production Ramp-Up
对应的SW-Phase:

Introduction -> Concept Refinement -> Prototype Planning & Specification -> Design & Realization -> Integration & Test ->Industrialization Support -> Product Validation Support -> Production Ramp-Up Support

其中Prototype Planning & Specification -> Design & Realization -> Integration & Test 形成一个loop

1.2. Secure Software Development Life Cycle

推荐工具Microsoft Security Development Lifecycle

- Training

Security training

- Requirements

Security requirements analysis

Security & Privacy risk assessment

- Design

Design requirements analysis

Analyze attack possible

Threat modeling

- Implementation

Use secure development tools

Discard unsafe functions

Run static code analysis

- Testing

- Release

- Feedback

1.3. 挑战

- 不确定性。内部,外部环境。商业程序。技术。法律等。
- 严格确保安全性会提高成本

1.4. 已有的一些模型

OWASP, OpenSAMM, BSIMM, ISO21827

2. 需求

Security Requirement详情可参考nist sp 800-53

安全需求分析过程:

- 分析整个系统。软件,硬件,数据,用户案例。

- 确定安全目标。需要考虑股东利益,系统。

- 理解针对安全目标的Threats。

- 分类排序安全目标。

- Refine安全目标。结合Threats。

推荐模型:Microsoft Threat Modeling (STRIDE)

STRIDE基本步骤:

- Use case

- Identify Elements

- Identify Data Flow Diagrams (DFDs)

- Add trust boundaries

- System characterization

- Threat matrix

- Refinement

Security Risk Analysis

推荐模型DREAD, ETSI 102165-1 TVRA, Heavens-Model, EVITA-Model

ISO 2700x

3. 开发

常见软件漏洞

内存溢出, 整型溢出, Command injection

- Common Weakness Enumeration (CWE)

- Open Web Application Security Project (OWASP)

- 24 Deadly Sins of Software Security

Secure Coding标准和评估

标准:

- MISAR

- CERT

- DISA, STIGs

评估

- CWE

- OWASP Top 10

Static Code Analysis Tools

Coverity, ECLAIR, Grammatech, Gimpel Lint, HP Fortify, Klocwork, Parasoft, QAC, Veracode

版权所有,侵权必究,如需使用请与作者本人联系。

Automotive Security的一些资料和心得(1):Security Engineering的更多相关文章

  1. Automotive Security的一些资料和心得(2):Cryptography

    1. Security Goal - Confidentiality - Integrity - Availability - Authenticity - Non-repudiation - Aut ...

  2. Automotive Security的一些资料和心得(8):Hardware Security Module (HSM)

    1. Introduction - 保护软件的安全性措施,作为值得信赖的安全锚,- 安全地生成,存储和处理安全性关键材料屏蔽任何潜在的恶意软件,?- 通过运用有效的限制硬件篡改攻击的可能性篡改保护措施 ...

  3. Automotive Security的一些资料和心得(7):AUTOSAR和Security

    1. 密码模块[1] 密码模块在Services Layer Configurable and common access to 密码子程序 硬件支持密码模块 2. 应用 应用和密码子程序分离 Cry ...

  4. Automotive Security的一些资料和心得(5):Privacy

    1. Introduction 1.1 "Customers own their data and we can be no more than the trsted stewards of ...

  5. Automotive Security的一些资料和心得(4):Automotive Safeguards

    通常一辆汽车会包括超过80个ECUs.所有软件代码大小正在快速增加,将会超过1GB.软件protection是必不可少的. 1. 软件保护 1.1. 安全boot Software violating ...

  6. Automotive Security的一些资料和心得(3):Vehicular Security技术

    1. Overview 1.1. Secure Hardware Extension (SHE) 基本结构:ECU里面有一块单独的Secure Zone.Secure Zone里面是SHE模块.SHE ...

  7. Automotive Security的一些资料和心得(6):AUTOSAR

    1.1 Introduction AUTOSAR(汽车开放系统架构)是一个开放的,标准化的汽车软件架构,由汽车制造商,供应商和开发工具共同开发.它联合了汽车OEM ,供应商和开发工具供应商,其目标是创 ...

  8. REST Security with JWT using Java and Spring Security

    Security Security is the enemy of convenience, and vice versa. This statement is true for any system ...

  9. Spring Security(十九):6. Security Namespace Configuration

    6.1 Introduction Namespace configuration has been available since version 2.0 of the Spring Framewor ...

随机推荐

  1. 轻松学习Ionic (四) 修改应用图标及添加启动画面(更新官方命令行工具自动生成)

    由于Ionic更新了命令行工具,以后修改应用图标和添加启动画面就简单了,最新方法见最下方:   应用图标:   1.在整个项目所在文件夹下创建res文件夹,里边再分别创建两个文件夹android和io ...

  2. asp.net中用回车代替按钮事件

    第一步,先编写简单的页面代码,这里我们只需要一个按钮就足够了.当然,还有按钮事件. <html> <head> <title>测试绑定enter</title ...

  3. Android布局属性全面剖析

    第一类:属性值为true或false android:layout_centerHrizontal 水平居中 android:layout_centerVertical 垂直居中 android:la ...

  4. jQuery选项卡插件、Tabs插件

    效果图: <!DOCTYPE html> <html> <head> <title></title> <script src=&quo ...

  5. Office升级到2013版后无法登录微软账号问题

    自打office从2010版升级到2013版,就再也无法登录微软账号了.每次点击登录,弹出来的框就显示:this feature has been disabled by your administr ...

  6. 承接VR/AR内容应用定制需求

    业务范围: 1 承接VR/AR内容应用定制需求: 教育培训.建筑建设.旅游体验.课件教学系统.交通车辆仿真,模拟驾驶系统.游戏等.2 各类最新VR设备,例如GearVR.HTC vive.Oculus ...

  7. OpenGL3-绘制各种图元绘制

    代码下载 #include "CELLWinApp.hpp"#include <gl/GLU.h>#include <assert.h>#include & ...

  8. (转)关于redis、memcache、mongoDB 的对比

    从以下几个维度,对redis.memcache.mongoDB 做了对比,欢迎拍砖 1.性能 都比较高,性能对我们来说应该都不是瓶颈 总体来讲,TPS方面redis和memcache差不多,要大于mo ...

  9. css3学习笔记之用户界面

    CSS3 调整尺寸(Resizing) CSS3中,resize属性指定一个元素是否应该由用户去调整大小. 这个 div 元素由用户调整大小. (在 Firefox 4+, Chrome, 和 Saf ...

  10. feature.shape和feature.shapecopy的区别

    以前在写AE代码的时候也没有注意到feature.shape和feature.shapecopy的区别,觉得两者也差不多: 今天写入库程序才明白过来. 如果取feature.shape,则得到的是该要 ...