在工業(yè)和消費環(huán)境中，通過連接設備聽到安全漏洞和黑客攻擊似乎很常見。我們從銷售安全解決方案（無論是硬件還是軟件）的供應商那里聽到的一個共同主題是，安全通常是嵌入式系統(tǒng)開發(fā)過程中的事后考慮，或者他們的設計團隊中沒有足夠的安全專業(yè)知識，特別是在擁有實施安全的正確知識和技能。

我們最近強調了物聯(lián)網(wǎng) (IoT) 設備的安全性是如何被忽視的，盡管連接設備的巨大增長。正如幫助提高開發(fā)人員安全編碼技能的公司 Secure Code Warrior 的聯(lián)合創(chuàng)始人兼首席技術官 Matias Madou 最近指出的那樣，解決這個問題的一個關鍵部分是開發(fā)安全的嵌入式代碼。他評論說：“軟件就在我們身邊，我們很容易忘記我們是多么依賴代碼行來完成所有這些聰明的事情，這些事情為我們提供了如此多的創(chuàng)新和便利。就像基于 Web 的軟件、API 和移動設備一樣，如果嵌入式系統(tǒng)中的易受攻擊的代碼被攻擊者在野外發(fā)現(xiàn)，它就可以被利用。”

馬蒂亞斯·馬杜

他認為，就像所有其他類型的軟件一樣，物聯(lián)網(wǎng)設備中的代碼可能成為潛在的常見漏洞的溫床，這些漏洞在產(chǎn)品上線之前可能未被發(fā)現(xiàn)。他說：“開發(fā)人員不是安全專家，任何公司也不應該期望他們扮演這個角色，但他們可以配備更強大的武器庫來應對與他們相關的威脅。隨著我們的技術需求不斷發(fā)展，嵌入式系統(tǒng)（通常用 C 和 C++ 編寫）將得到更頻繁的使用，并且在這種環(huán)境中為開發(fā)人員提供有關工具的專門安全培訓至關重要。”

一個真實的例子是今年早些時候強調的配置服務器代碼漏洞，它可以對 Cosori 智能空氣炸鍋進行遠程代碼執(zhí)行攻擊，這是一種支持 WiFi 的廚房電器，允許用戶遠程激活設備、查找食譜指南和通過移動應用程序監(jiān)控烹飪狀態(tài)。風險在于威脅行為者可以遠程將溫度升高到危險水平。

代碼安全性至關重要的不僅僅是空氣炸鍋和連接 Wi-Fi 的設備。例如，車輛特別復雜，具有多個車載嵌入式系統(tǒng)來處理多種功能：從自動雨刷到發(fā)動機和制動功能的一切。除此之外，還有越來越多的通信技術，如 Wi-Fi、藍牙和 GPS；因此，聯(lián)網(wǎng)車輛代表了一個復雜的數(shù)字基礎設施，該基礎設施暴露于多種攻擊媒介。

麻豆強調，雖然 C 和 C++ 編程語言“按照今天的標準來看是老生常談”，但它們仍然廣泛用于當今大多數(shù)聯(lián)網(wǎng)設備中。他評論道：“盡管這些語言有著相當古老的根源——并且在注入缺陷和緩沖區(qū)溢出等常見問題方面表現(xiàn)出類似的漏洞行為——但開發(fā)人員要想真正成功地緩解嵌入式系統(tǒng)中的安全漏洞，他們必須親身體驗“

為了滿足這一需求，Secure Code Warrior 為開發(fā)人員發(fā)布了新的培訓內容，讓他們能夠親身體驗汽車、醫(yī)療和國防行業(yè)常用的嵌入式 C 和 C++ 語言的代碼漏洞。該公司已將其添加到其學習平臺中，允許使用嵌入式系統(tǒng)的組織提高他們的開發(fā)人員群體的技能，幫助他們在日常任務中安全地編碼。

該平臺符合 MISRA 等關鍵嵌入式系統(tǒng)安全組織詳細說明的指導方針，以實現(xiàn)現(xiàn)實世界的安全編碼技能，并從開發(fā)過程的一開始就將軟件安全放在首位。

麻豆說：“從聯(lián)網(wǎng)的冰箱和烤面包機到我們駕駛的汽車，一切都是由嵌入式系統(tǒng)驅動的。如果該軟件易受攻擊且可能被利用可能會造成災難性的后果，我們很高興能夠提供實用的、真正的解決方案來減少這些應用程序編碼時的漏洞。開發(fā)人員是使用高質量、安全代碼構建出色軟件的關鍵，他們需要被授權這樣做。”

除了一系列旨在開發(fā)人員體驗和建立積極安全文化的安全工具外，Secure Code Warrior 的嵌入式系統(tǒng)模塊現(xiàn)已上市。“我們已經(jīng)幫助世界各地的組織利用我們的旗艦學習平臺為他們的安全技術開發(fā)人員提供支持，我們相信這是開發(fā)人員近距離接觸嵌入式系統(tǒng)安全的最全面的解決方案，”麻豆總結道。

審核編輯 黃昊宇