陆续更新一些最近在Automotive Security方面的资料和心得。

1. Overview

1.1. Software Engineering Process

PLC-Phases:

Introduction -> Concept Refinement -> Development -> Industrialization -> Product Validation -> Production Ramp-Up
对应的SW-Phase:

Introduction -> Concept Refinement -> Prototype Planning & Specification -> Design & Realization -> Integration & Test ->Industrialization Support -> Product Validation Support -> Production Ramp-Up Support

其中Prototype Planning & Specification -> Design & Realization -> Integration & Test 形成一个loop

1.2. Secure Software Development Life Cycle

推荐工具Microsoft Security Development Lifecycle

- Training

Security training

- Requirements

Security requirements analysis

Security & Privacy risk assessment

- Design

Design requirements analysis

Analyze attack possible

Threat modeling

- Implementation

Use secure development tools

Discard unsafe functions

Run static code analysis

- Testing

- Release

- Feedback

1.3. 挑战

- 不确定性。内部,外部环境。商业程序。技术。法律等。
- 严格确保安全性会提高成本

1.4. 已有的一些模型

OWASP, OpenSAMM, BSIMM, ISO21827

2. 需求

Security Requirement详情可参考nist sp 800-53

安全需求分析过程:

- 分析整个系统。软件,硬件,数据,用户案例。

- 确定安全目标。需要考虑股东利益,系统。

- 理解针对安全目标的Threats。

- 分类排序安全目标。

- Refine安全目标。结合Threats。

推荐模型:Microsoft Threat Modeling (STRIDE)

STRIDE基本步骤:

- Use case

- Identify Elements

- Identify Data Flow Diagrams (DFDs)

- Add trust boundaries

- System characterization

- Threat matrix

- Refinement

Security Risk Analysis

推荐模型DREAD, ETSI 102165-1 TVRA, Heavens-Model, EVITA-Model

ISO 2700x

3. 开发

常见软件漏洞

内存溢出, 整型溢出, Command injection

- Common Weakness Enumeration (CWE)

- Open Web Application Security Project (OWASP)

- 24 Deadly Sins of Software Security

Secure Coding标准和评估

标准:

- MISAR

- CERT

- DISA, STIGs

评估

- CWE

- OWASP Top 10

Static Code Analysis Tools

Coverity, ECLAIR, Grammatech, Gimpel Lint, HP Fortify, Klocwork, Parasoft, QAC, Veracode

版权所有,侵权必究,如需使用请与作者本人联系。

Automotive Security的一些资料和心得(1):Security Engineering的更多相关文章

  1. Automotive Security的一些资料和心得(2):Cryptography

    1. Security Goal - Confidentiality - Integrity - Availability - Authenticity - Non-repudiation - Aut ...

  2. Automotive Security的一些资料和心得(8):Hardware Security Module (HSM)

    1. Introduction - 保护软件的安全性措施,作为值得信赖的安全锚,- 安全地生成,存储和处理安全性关键材料屏蔽任何潜在的恶意软件,?- 通过运用有效的限制硬件篡改攻击的可能性篡改保护措施 ...

  3. Automotive Security的一些资料和心得(7):AUTOSAR和Security

    1. 密码模块[1] 密码模块在Services Layer Configurable and common access to 密码子程序 硬件支持密码模块 2. 应用 应用和密码子程序分离 Cry ...

  4. Automotive Security的一些资料和心得(5):Privacy

    1. Introduction 1.1 "Customers own their data and we can be no more than the trsted stewards of ...

  5. Automotive Security的一些资料和心得(4):Automotive Safeguards

    通常一辆汽车会包括超过80个ECUs.所有软件代码大小正在快速增加,将会超过1GB.软件protection是必不可少的. 1. 软件保护 1.1. 安全boot Software violating ...

  6. Automotive Security的一些资料和心得(3):Vehicular Security技术

    1. Overview 1.1. Secure Hardware Extension (SHE) 基本结构:ECU里面有一块单独的Secure Zone.Secure Zone里面是SHE模块.SHE ...

  7. Automotive Security的一些资料和心得(6):AUTOSAR

    1.1 Introduction AUTOSAR(汽车开放系统架构)是一个开放的,标准化的汽车软件架构,由汽车制造商,供应商和开发工具共同开发.它联合了汽车OEM ,供应商和开发工具供应商,其目标是创 ...

  8. REST Security with JWT using Java and Spring Security

    Security Security is the enemy of convenience, and vice versa. This statement is true for any system ...

  9. Spring Security(十九):6. Security Namespace Configuration

    6.1 Introduction Namespace configuration has been available since version 2.0 of the Spring Framewor ...

随机推荐

  1. Servlet & JSP - Listener

    Servlet API 中的 6 个事件类 1. ServletContextEvent:该类表示上下文事件,当应用上下文对象发生改变,例如创建或销毁上下文对象时,将触发上下文事件. 2. Servl ...

  2. Ehcache(2.9.x) - API Developer Guide, Cache Extensions

    About Cache Extensions Cache extensions are a general-purpose mechanism to allow generic extensions ...

  3. 初学Android: 四大组件之Activity

    1.activity (1)一个Activity通常就是一个单独的屏幕(窗口),简单来说activity就是一个交互界面,一般应用程序都要由一个或者多个activity组成. (2)Activity之 ...

  4. SQL server经典电子书、工具和视频教程汇总

    SQL server经典电子书.工具和视频教程汇总 SQL server经典电子书.工具和视频教程汇总 SQL Server是高校计算机专业的一门必修课程,同时众多企业采用SQL Server作为数据 ...

  5. CSS常用中文字体、字号

    字体(font-family): 新细明体:PMingLiU 细明体:MingLiU 标楷体:DFKai-SB 黑体:SimHei 宋体:SimSun 新宋体:NSimSun 仿宋:FangSong  ...

  6. (转)IDG副总裁楼军:顶级VC青睐什么样的创业者

    学习能力是创业者的第一能力 创业者首先要有格局观和很强的学习能力. 具体什么意思?比如说去年IDG投了一个做C2C平台的海淘项目,创始人之前其实是帮他爱人做海淘代购.他爱人是一个代购买手,赚得还不错, ...

  7. 通过使用Chrome的开发者工具来学习JavaScript

    本文作者是Peter Rybin,Chrome开发者工具团队成员. 本文中,我们将通过使用Chrome的开发者工具,来学习JavaScript中的两个重要概念”闭包”和”内部属性”. 闭包 首先要讲的 ...

  8. 菜鸟级asp.net 与ms sql server数据库打交道的简单总结

    using System.Data.SqlClient;using System.Data; 上面是必须的 下面说的都是用存储过程 首先是webconfig里面的连接字符串: <connecti ...

  9. 使用git的正确姿势

    1.Windows上安装git:从https://git-for-windows.github.io下载msysgit. 2.linux(Debian或Ubuntu)安装git:sudo apt-ge ...

  10. debian 学习记录-1 -安装

    之前装ubuntu12. 后来没有继续用,图形界面很不错,没有继续学习原因很多: · 没有基础知识支持(拷贝文件都是用鼠标拖动的) · 图形界面很好,导致没有使用命令行,安装驱动什么的都是靠鼠标点击 ...