嵌入式安全
的Polyspace®产品系列提供了静态代码分析解决网络安全挑战的方案。开发嵌入式应用程序的软件开发人员和安全工程师经常面临这些挑战。Polyspace产s manbetx 845品使工程师能够:
- 符合CWE、CERT C、ISO/IEC 17961等安全标准
- 检测各种类型的关键软件缺陷和安全漏洞
- 证明缺乏某些关键漏洞
遵守安全标准
像MISRA这样的软件编码标准在防止软件开发过程中不可靠的编程构造方面发挥了重要作用。CERT C、ISO/IEC 17961和CWE是专门为解决嵌入式系统中日益增多的网络安全问题而开发的编码规则指南。通用弱点枚举(Common weakness enumeration, CWE)是一种不断发展的安全标准,它提供了可利用的软件构造的通用特征,这些构造可能使您的软件容易被利用。CERT C是一套用于C语言软件开发的安全编码指南。它是由CERT社区开发的,并且它与CWE有很大的重叠。ISO/IEC 17961是C语言安全编码的正式ISO标准。
根据这些指导原则检查代码可以帮助减少软件的攻击面并防止安全漏洞。当软件供应商确保其软件符合一项或多项网络安全标准时,这些检查正迅速成为公认的——甚至是必需的——标准。Polyspace错误发现者™帮助您检查您的代码是否符合上述所有的编码准则,并生成文档遵从性报告。
了解更多关于符合CERT C使用Polyspace静态分析。
检测安全漏洞
开发过程的编码阶段引入了软件中发现的大量缺陷和安全漏洞。Polyspace Bug Finder有助于及早发现此类漏洞和缺陷。您可以检测与静态和动态内存相关的问题,如缓冲区溢出和释放指针的使用,或者您可以检测并发冲突,如竞争条件。此外,Polyspace Bug Finder还可以检查特定的安全检查,如污染数据、资源和内存泄漏以及易受攻击的编码。您可以在IDE中将这些问题作为编码过程的一部分来处理。
有关更多信息,请参见软件漏洞和缺陷结果列表.
证明关键漏洞的缺失
一些最常被利用的漏洞包括缓冲区溢出或非法指针解引用。缓冲区溢出可以被利用来执行各种各样的攻击,比如破坏堆栈或注入代码。因此,重要的是要检测这些缺陷的所有实例,而不是少数。黑客可以尝试很多方法来发现软件漏洞,而他们所需要的只是找到一个漏洞,从而对您的应用程序造成严重破坏。
Polyspace代码验证™可以识别每一个这样的实例,并证明没有一个留在您的软件中。这是可能的,因为详细的运行时控制和数据流行为,这可以帮助您使您的软件模块健壮,相互独立。
