符合网络安全的代码测试方案.pdf

1、符合网络安全的代码测试方案目录CONTENTS 网络安全要求网络安全要求及代码解决方案及代码解决方案 符合网络安全要求的代码符合网络安全要求的代码静态测试静态测试 符合网络安全要求的代码符合网络安全要求的代码动态测试动态测试 北汇软测工具链及工程北汇软测工具链及工程服务服务网络安全要求及代码解决方案4道路车辆网络安全要求5规范拆解6GBGB标准标准要求：要求：A.4.4 车辆外部连接系统漏洞扫描测试方法A.6.1.2 车载软件升级系统安全漏洞扫描测试方法ISO/SAE 21434ISO/SAE 21434：20122012要求要求RQ-10-05 适用于网络安全的代码需要用符合代码规范的语言子

2、集(第三方语言检测规范)来检测RQ-10-10 验证手段需包括静态分析解决解决方案：静态分析，控制流方案：静态分析，控制流/数据流分析等数据流分析等QAC支持CWE,MISRA,CERT规则网络安全要求及解决方案7ISO/SAE 21434:2021 ISO/SAE 21434:2021 要求要求：RQ-10-11 测试覆盖率指标可以用来评估测试活动是否充分,最大限度地减少未经测试的软件造成的安解决方案：动态测试，功能实现、覆盖率解决方案：动态测试，功能实现、覆盖率测试等测试等VectorCAST可以可靠地测量所有测试阶段的测试覆盖率从单元测试到集成测试再到系统测试支持所有常见的覆盖率指标支持

3、主机、虚拟环境或目标板的测试环境网络安全要求及解决方案8网络安全对代码测试的要求l 绿色代表支持l 黄色代表部分支持符合网络安全要求的代码静态测试10符合网络安全的代码静态测试11每种编程语言都有缺点，导致未定义或未指定的程序行为和可利用的漏洞每种编程语言都有缺点，导致未定义或未指定的程序行为和可利用的漏洞这代表了覆这代表了覆盖网络安全相关标准的不足。盖网络安全相关标准的不足。为了克服这些缺点，对于C和C+的实现，制定出来了MISRA C：2012和CERT C编码标准。Helix QACHelix QAC可以可靠地检查是否符合这些可以可靠地检查是否符合这些规范，同时还可以无缝地集成到您的开发

4、环境中。规范，同时还可以无缝地集成到您的开发环境中。Helix QACHelix QAC通过了功能安全认证，适合作为一种静态应用程序安全测试（通过了功能安全认证，适合作为一种静态应用程序安全测试（SASTSAST）工具，）工具，可以在早期阶段检测安全漏洞。其经过认证的可以在早期阶段检测安全漏洞。其经过认证的CWECWE兼容性就强调了这一点。兼容性就强调了这一点。符合网络安全的代码静态测试12符合网络安全的代码静态测试Helix QACHelix QAC静态分析优势静态分析优势业界领先的编码规范覆盖度，持续支持新版本的C+标准；丰富的命令行，更容易实现自动化，方便与持续集成系统进行融合；不断改进

5、的数据流分析，可以找出代码运行时错误，如缓存溢出，数组访问越界，未定义行为等,且准确度高、漏报少。MISRA C/C+CERT C/C+CWE C/C+AUTOSAR(C+14 Adaptive Platform)HICPP(C+11)JSF AV C+Internal Coding Standard for C+for C13符合网络安全的代码静态测试Helix QACHelix QAC测试工程搭建测试工程搭建基于实际交叉编译链搭建测试工程开箱即可用编译器，QAC自动生成编译器配置文件（CCT）非开箱即可用编译器，借助CCT生成工具生成配置文件。配置编码规范包，可自定义编码规则（able/d

6、isable）GNU C/C+ClangMS Visual StudioMicrochip MPLAB pic24xc32xc16Hightec TricoreQNXMicrochip XC8,XC8-CCWind River DiabTexas Instruments Code ComposerTexas Instruments Code Composer v11,ArmClangIAR Embedded WorkbenchTASKINGRenesasARM ArmClangWind River Diab(C+11/14)Green Hills 2018-2022Visual Studio