陆续更新一些最近在Automotive Security方面的资料和心得。

1. Overview

1.1. Software Engineering Process

PLC-Phases:

Introduction -> Concept Refinement -> Development -> Industrialization -> Product Validation -> Production Ramp-Up
对应的SW-Phase:

Introduction -> Concept Refinement -> Prototype Planning & Specification -> Design & Realization -> Integration & Test ->Industrialization Support -> Product Validation Support -> Production Ramp-Up Support

其中Prototype Planning & Specification -> Design & Realization -> Integration & Test 形成一个loop

1.2. Secure Software Development Life Cycle

推荐工具Microsoft Security Development Lifecycle

- Training

Security training

- Requirements

Security requirements analysis

Security & Privacy risk assessment

- Design

Design requirements analysis

Analyze attack possible

Threat modeling

- Implementation

Use secure development tools

Discard unsafe functions

Run static code analysis

- Testing

- Release

- Feedback

1.3. 挑战

- 不确定性。内部,外部环境。商业程序。技术。法律等。
- 严格确保安全性会提高成本

1.4. 已有的一些模型

OWASP, OpenSAMM, BSIMM, ISO21827

2. 需求

Security Requirement详情可参考nist sp 800-53

安全需求分析过程:

- 分析整个系统。软件,硬件,数据,用户案例。

- 确定安全目标。需要考虑股东利益,系统。

- 理解针对安全目标的Threats。

- 分类排序安全目标。

- Refine安全目标。结合Threats。

推荐模型:Microsoft Threat Modeling (STRIDE)

STRIDE基本步骤:

- Use case

- Identify Elements

- Identify Data Flow Diagrams (DFDs)

- Add trust boundaries

- System characterization

- Threat matrix

- Refinement

Security Risk Analysis

推荐模型DREAD, ETSI 102165-1 TVRA, Heavens-Model, EVITA-Model

ISO 2700x

3. 开发

常见软件漏洞

内存溢出, 整型溢出, Command injection

- Common Weakness Enumeration (CWE)

- Open Web Application Security Project (OWASP)

- 24 Deadly Sins of Software Security

Secure Coding标准和评估

标准:

- MISAR

- CERT

- DISA, STIGs

评估

- CWE

- OWASP Top 10

Static Code Analysis Tools

Coverity, ECLAIR, Grammatech, Gimpel Lint, HP Fortify, Klocwork, Parasoft, QAC, Veracode

版权所有,侵权必究,如需使用请与作者本人联系。

Automotive Security的一些资料和心得(1):Security Engineering的更多相关文章

  1. Automotive Security的一些资料和心得(2):Cryptography

    1. Security Goal - Confidentiality - Integrity - Availability - Authenticity - Non-repudiation - Aut ...

  2. Automotive Security的一些资料和心得(8):Hardware Security Module (HSM)

    1. Introduction - 保护软件的安全性措施,作为值得信赖的安全锚,- 安全地生成,存储和处理安全性关键材料屏蔽任何潜在的恶意软件,?- 通过运用有效的限制硬件篡改攻击的可能性篡改保护措施 ...

  3. Automotive Security的一些资料和心得(7):AUTOSAR和Security

    1. 密码模块[1] 密码模块在Services Layer Configurable and common access to 密码子程序 硬件支持密码模块 2. 应用 应用和密码子程序分离 Cry ...

  4. Automotive Security的一些资料和心得(5):Privacy

    1. Introduction 1.1 "Customers own their data and we can be no more than the trsted stewards of ...

  5. Automotive Security的一些资料和心得(4):Automotive Safeguards

    通常一辆汽车会包括超过80个ECUs.所有软件代码大小正在快速增加,将会超过1GB.软件protection是必不可少的. 1. 软件保护 1.1. 安全boot Software violating ...

  6. Automotive Security的一些资料和心得(3):Vehicular Security技术

    1. Overview 1.1. Secure Hardware Extension (SHE) 基本结构:ECU里面有一块单独的Secure Zone.Secure Zone里面是SHE模块.SHE ...

  7. Automotive Security的一些资料和心得(6):AUTOSAR

    1.1 Introduction AUTOSAR(汽车开放系统架构)是一个开放的,标准化的汽车软件架构,由汽车制造商,供应商和开发工具共同开发.它联合了汽车OEM ,供应商和开发工具供应商,其目标是创 ...

  8. REST Security with JWT using Java and Spring Security

    Security Security is the enemy of convenience, and vice versa. This statement is true for any system ...

  9. Spring Security(十九):6. Security Namespace Configuration

    6.1 Introduction Namespace configuration has been available since version 2.0 of the Spring Framewor ...

随机推荐

  1. Xcode磁盘空间大清理(转)

    Xcode磁盘空间大清理 我的设备是Macbook Air 13’ Mid 2011,128G SSD.最近开始有些存储压力了,用Clean My Mac清理一部分旧文件后,决定对Xcode动手. 移 ...

  2. 转 Android中this、super的区别

    在Java中,this通常指当前对象,super则指父类的.当你想要引用当前对象的某种东西,比如当前对象的某个方法,或当前对象的某个成员,你便可以利用this来实现这个目 的,当然,this的另一个用 ...

  3. SQL 数据库基础语句

    一.基础 1.说明:创建数据库CREATE DATABASE database-name 2.说明:删除数据库drop database dbname3.说明:备份sql server--- 创建备份 ...

  4. 如何检查mysql中建立的索引是否生效的检测方法及相关参数说明

    所使用的mysql函数explain语法:explain < table_name >例如: explain select * from t3 where id=3952602;expla ...

  5. JSON解析保存在类中

    //my.h#ifndef __1_Header_h#define __1_Header_h#define DEBUG 1#define aa 1 #ifdef aa#ifdef DEBUG#defi ...

  6. ICallbackEventHandler 接口实现回调处理功能

    在最近的项目实现中遇到了一个问题 在数据处理的过程中,需要请求获取数据,再做处理之后,可以在页面及时获取数据 开始时,首先想到的到是写Ajax请求,但在做后续数据处理后,处理获取数据等操作,感觉实现起 ...

  7. lex&yacc8--wehter use in C++

    bintree.h:12:1: error: unknown type name ‘using’ using namespace std; ============== bintree.h:28:1: ...

  8. yum的一些用法

    对于配置仓库这里就不做讲解了,这里只是列出比较实用的yum的用法 yum install packagename                #安装软件包 yum remove  packagena ...

  9. 网站如何做到完全不需要jQuery

    jQuery是现在最流行的JavaScript工具库. 据统计,目前全世界57.3%的网站使用它.也就是说,10个网站里面,有6个使用jQuery.如果只考察使用工具库的网站,这个比例就会上升到惊人的 ...

  10. DTCMS会员中心快速更改样式思路

    非常简便 制作一个public.css文件,包含网站头部和底部的样式代码 每个会员中心模版导入这个文件就可以 把原先style.css的头部和底部样式代码删除