91吃瓜网

现代汽车越来越多地成为敏感数据的移动接入点，但是源代码和设计的缺陷、未打补丁的漏洞和应用安全实践不足都能将汽车软件和车企客户数据置于风险之"中。在软件开发阶段越早发现这些缺陷和漏洞，修复成本就越低，修复难度也越小。

中国汽车网络安全周已经举办四届，汇聚安全专家、车企和业内相关人士，探讨无人驾驶及汽车网络安全。新思科技软件质量与安全部门高级安全架构师杨国梁在大会上就汽车软件安全分享了最佳实践和方法论。

新思科技经过验证的方法和自动化解决方案将加强软件开发生命周期的每个阶段和整个软件供应链中的软件安全状况。

• 设计阶段：识别有风险的设计缺陷、控制缺陷和资产漏洞。
• 开发阶段：检测第叁方组件、安全漏洞、许可证使用以及代码中的关键缺陷和弱点。

其中，新思科技的Coverity静态应用安全测试工具可将自动安全测试无缝集成到CI/CD Pipeline 中，并支持现有开发工具和工作流。

Coverity 支持20 种语言以及70 多个框架和模板。

凭借颁辞惫别谤颈迟测的速度、易用性、准确性、行业标准合规性及可扩展性，新思科技在众多同类厂商中脱颖而出，荣获大会颁发的“础耻迟辞厂别肠安全之"星”年度杰出安全测试工具供应商奖项。

Coverity 静态应用安全测试提供开发高质量安全应用所需的。在早期开发阶段，Coverity 便能随代码的编写及时识别出代码中严重的软件质量缺陷和安全漏洞。

除了静态应用安全测试解决，新思科技还提供动态应用安全测试和软件组成分析等测试工具。值得一提的是，新思科技的汽车软件安全方法是基于技术风险管理基本知识得出的，通过以下关键活动支持汽车行业的独特需求：

• ECU 仿真、原型设计、故障仿真、建模和虚拟接口
• CAN 总线（控制器区域网络）分析、模糊测试、捕获和逆向工程
• 础鲍罢翱厂础搁（汽车开放系统架构）
• 汽车生态系统威胁建模与架构风险分析
• 嵌入式代码审查、渗透测试和逆向工程
• 通信接口测试（板载、无线、经销商、制造）
• 远程信息处理、信息娱乐和车载主机测试
• 诊断、记录和定时子系统测试和建模
• 证书、加密、密钥库、分析和测试
• 车辆强化、滨顿厂、滨笔厂、记录和报告
• 程序设计与开发
• 软件安全培训