Automotive Security的一些资料和心得(1):Security Engineering
陆续更新一些最近在Automotive Security方面的资料和心得。
1. Overview
1.1. Software Engineering Process
Introduction -> Concept Refinement -> Development -> Industrialization -> Product Validation -> Production Ramp-Up
对应的SW-Phase:
Introduction -> Concept Refinement -> Prototype Planning & Specification -> Design & Realization -> Integration & Test ->Industrialization Support -> Product Validation Support -> Production Ramp-Up Support
其中Prototype Planning & Specification -> Design & Realization -> Integration & Test 形成一个loop。
1.2. Secure Software Development Life Cycle
推荐工具Microsoft Security Development Lifecycle
- Training
Security training
- Requirements
Security requirements analysis
Security & Privacy risk assessment
- Design
Design requirements analysis
Analyze attack possible
Threat modeling
- Implementation
Use secure development tools
Discard unsafe functions
Run static code analysis
- Testing
- Release
- Feedback
1.3. 挑战
- 不确定性。内部,外部环境。商业程序。技术。法律等。
- 严格确保安全性会提高成本
1.4. 已有的一些模型
OWASP, OpenSAMM, BSIMM, ISO21827
2. 需求
Security Requirement详情可参考nist sp 800-53
安全需求分析过程:
- 分析整个系统。软件,硬件,数据,用户案例。
- 确定安全目标。需要考虑股东利益,系统。
- 理解针对安全目标的Threats。
- 分类排序安全目标。
- Refine安全目标。结合Threats。
推荐模型:Microsoft Threat Modeling (STRIDE)
STRIDE基本步骤:
- Use case
- Identify Elements
- Identify Data Flow Diagrams (DFDs)
- Add trust boundaries
- System characterization
- Threat matrix
- Refinement
Security Risk Analysis
推荐模型DREAD, ETSI 102165-1 TVRA, Heavens-Model, EVITA-Model
3. 开发
常见软件漏洞
内存溢出, 整型溢出, Command injection
- Common Weakness Enumeration (CWE)
- Open Web Application Security Project (OWASP)
- 24 Deadly Sins of Software Security
Secure Coding标准和评估
标准:
- MISAR
- CERT
- DISA, STIGs
评估
- CWE
- OWASP Top 10
Coverity, ECLAIR, Grammatech, Gimpel Lint, HP Fortify, Klocwork, Parasoft, QAC, Veracode
版权所有,侵权必究,如需使用请与作者本人联系。
Automotive Security的一些资料和心得(1):Security Engineering的更多相关文章
- Automotive Security的一些资料和心得(2):Cryptography
1. Security Goal - Confidentiality - Integrity - Availability - Authenticity - Non-repudiation - Aut ...
- Automotive Security的一些资料和心得(8):Hardware Security Module (HSM)
1. Introduction - 保护软件的安全性措施,作为值得信赖的安全锚,- 安全地生成,存储和处理安全性关键材料屏蔽任何潜在的恶意软件,?- 通过运用有效的限制硬件篡改攻击的可能性篡改保护措施 ...
- Automotive Security的一些资料和心得(7):AUTOSAR和Security
1. 密码模块[1] 密码模块在Services Layer Configurable and common access to 密码子程序 硬件支持密码模块 2. 应用 应用和密码子程序分离 Cry ...
- Automotive Security的一些资料和心得(5):Privacy
1. Introduction 1.1 "Customers own their data and we can be no more than the trsted stewards of ...
- Automotive Security的一些资料和心得(4):Automotive Safeguards
通常一辆汽车会包括超过80个ECUs.所有软件代码大小正在快速增加,将会超过1GB.软件protection是必不可少的. 1. 软件保护 1.1. 安全boot Software violating ...
- Automotive Security的一些资料和心得(3):Vehicular Security技术
1. Overview 1.1. Secure Hardware Extension (SHE) 基本结构:ECU里面有一块单独的Secure Zone.Secure Zone里面是SHE模块.SHE ...
- Automotive Security的一些资料和心得(6):AUTOSAR
1.1 Introduction AUTOSAR(汽车开放系统架构)是一个开放的,标准化的汽车软件架构,由汽车制造商,供应商和开发工具共同开发.它联合了汽车OEM ,供应商和开发工具供应商,其目标是创 ...
- REST Security with JWT using Java and Spring Security
Security Security is the enemy of convenience, and vice versa. This statement is true for any system ...
- Spring Security(十九):6. Security Namespace Configuration
6.1 Introduction Namespace configuration has been available since version 2.0 of the Spring Framewor ...
随机推荐
- 用bat使用date和time命令
D:\>date /T 2010-12-10 星期五 D:\>echo %date:~0,10% 2010-12-10 date:命令(别忘记date后面有个冒号) ~0:从索引0开始取内 ...
- Jersey(1.19.1) - Extracting Request Parameters
Parameters of a resource method may be annotated with parameter-based annotations to extract informa ...
- Redis - 环境的安装配置
Redis 下载安装步骤: 下载 redis 源码: [huey@huey-K42JE ~]$ wget http://download.redis.io/releases/redis-x.y.z.t ...
- Javascript之响应式相册
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/stri ...
- 译:Spring框架参考文档之IoC容器(未完成)
6. IoC容器 6.1 Spring IoC容器和bean介绍 这一章节介绍了Spring框架的控制反转(IoC)实现的原理.IoC也被称作依赖注入(DI).It is a process wher ...
- autolayout高度动态改变的一些体会
autolayout这个东西就不在此说明了,网上已经有很多大神做了很详细的讲解,自己也看了不少好文章,在这里只是想记录一下自己初步的一些认识与体会,这个东西毕竟还是很强大,如果要用到更高级的用法还得在 ...
- phpmyadmin安装教程及配置设置
phpmyadmin安装教程及配置设置 | 浏览:20304 | 更新:2013-11-07 09:50 1.一般网上下载到的phpmyadmin是一个压缩包,我们将其释放到htdocs目录中,例如h ...
- (转)ASP.NET并发处理
对于DB服务器同样也可以调整最大连接数来做优化. 在调整优化好最大连接数之后,就只有软硬件负载均衡了.硬件负载均衡能够直接通过智能交换机实现,处理能力强,而且与系统无关,但是价格贵,配置困难,不能区分 ...
- java SimpleDateFormat非线程安全测试
public class MyThread extends Thread { private SimpleDateFormat sdf; private String dateString; publ ...
- CSS样式一
样式 首先明确: HTML标签也有标签的属性,CSS中的样式也称作为属性,而且某些html中的属性与css中的属性同名,并且作用也相同,但是属于不同的技术. 尺寸样式: 几乎所有的标签有可以设置 wi ...